IPA 情報セキュリティ10大脅威 2021 から考える「ポストコロナ社会のセキュリティ」

2021.02.06
柳井政和
バックナンバー

今年の情報セキュリティ10大脅威 組織部門

 次に、組織部門である。 1位 ランサムウェアによる被害 2位 標的型攻撃による機密情報の窃取 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位 サプライチェーンの弱点を悪用した攻撃 5位 ビジネスメール詐欺による金銭被害 6位 内部不正による情報漏えい 7位 予期せぬIT基盤の障害に伴う業務停止 8位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位 脆弱性対策情報の公開に伴う悪用増加  組織部門で注目すべき点は、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。これまで社内のパソコンで仕事をして、社内のネットワークでデータをやり取りしていたのが、自宅勤務により、各自の自宅で仕事をしてインターネット経由でデータをやり取りするようになった。  仮想専用回線などを利用してデータをやり取りする企業もあるだろうが、全ての企業が、そうした措置をとるわけではない。また、個人のパソコンで仕事をしているところもあるだろう。セキュリティのルールをどうするかなど、慌ただしく移行した場合には、適切なルールが存在しないこともあるはずだ。  そうした状態での、新しいセキュリティ的な脅威が多数発生していることは、想像に難くない。  さて、残りの順位も見ていこう。1位の「ランサムウェアによる被害」は、ファイルを暗号化するなどして重要なデータを人質に取り、その救出のために身の代金を払わせるという攻撃だ。  この脅威は、2020年は5位、2019年は3位、2018年、2017年は2位、2016年は7位になっている。データをもとにサービスを提供している会社にとって、データが人質に取られるのは致命的だ。個人を狙う攻撃が、広く浅く金を得るやり方だとすると、組織を狙う攻撃は、大きな金額を一発で得るやり方だと言える。こうした攻撃は、成功したときの金額が大きいので、攻撃者側にとって旨味が大きい。  2位は「標的型攻撃による機密情報の窃取」だ。先ほどと同じ理由で、金を持っている企業は、攻撃対象として狙われやすい。標的型攻撃は、攻撃対象の情報を集めて、カスタマイズした攻撃をおこなう方法だ。こうした攻撃は、金銭目的だけではなく、国家間の諜報でも用いられる。防衛関係の企業などが狙われているのは、そうした背景がある。  この脅威は、2020年から2016年にかけて連続1位だ。2015年に3位になっているが、それ以前はずっと1位か2位が続いている。企業が最も気を付けなければならない脅威だと言える。  4位は「サプライチェーンの弱点を悪用した攻撃」だ。サプライチェーンは、調達や製造、在庫管理や物流、販売といった企業間のつながりのことだ。こうした繋がりの弱点を足掛かりにして、攻撃を広げていく手法を指す。  この脅威は、2020年、2019年ともに4位で、2019年から10大脅威に登場した。一社だけで防備を固めていても防げない厄介な攻撃だと言える。  5位は「ビジネスメール詐欺による金銭被害」だ。「口座が変わった」などの嘘の情報を送り、攻撃者の口座にお金を振り込ませるといった手口だ。直接的にお金を盗まれるので、高額な被害になることが多い。  この脅威は、2020年には3位、2019年には2位、2018年には3位となっている。近年脅威が警告されている攻撃手法だ。

便利にするはずのIT化が生み出すコスト

 6位は「内部不正による情報漏えい」だ。廃棄予定のHDDの販売や、情報を盗んでの販売や転職などが当たる。内部不正は、内部事情を知り尽くしている人がおこなうので防ぐのは難しい。内部の管理がずさんになっていたり、経営陣が恨みを持たれていたり、理由も千差万別だろう。  この脅威は、2020年には2位、2019年には5位、2018年には8位、2017年には5位、2016年、2015には2位、2013年には9位、2012年には7位となっている。大きな内部不正があると順位が高くなるが、基本的には常時発生していて、問題になっている脅威だと言える。  7位は「予期せぬIT基盤の障害に伴う業務停止」だ。東証の停止などは記憶に新しい。他にもクラウドの停止など、業務が止まることはたびたび発生する。こうしたトラブルを完璧に防ぐことは難しいだろう。停止を少なくすることは当然として、停止する前提で、日頃から準備をしておく必要がある。  この脅威は、2020年に6位で初登場している。世の中の仕組みが、IT中心になってきたことの、ある意味証拠かもしれない。  8位は「インターネット上のサービスへの不正ログイン」だ。この年、10大脅威に初登場したが、常時どこかで起きている脅威だ。  9位は「不注意による情報漏えい等の被害」だ。よくあるトラブルは、ノートパソコンを入れた鞄を忘れる、添付付きメールの誤送信などだ。人間なので、どんなに注意していても発生してしまう。意識を高めることも重要だが、ルール作りや運用、ソフトウェアによるチェックなど、システム側で被害を減らす工夫も必要になる。  この脅威は、2020年は7位、2019年は10位となり、近年注目され始めたことが分かる。  10位は「脆弱性対策情報の公開に伴う悪用増加」だ。この年に初登場した10大脅威だ。脆弱性対策情報が公開されたら、素早くその対策を実施しなければならない。しかし、その脆弱性への対策をおこなわない人や組織も多い。その結果、脆弱性だけが悪用されて、攻撃の材料になる。  ITが業務の中心になると、こうした対策を常時おこなわなければならなくなる。仕事を楽にするためにITを導入しているのに、仕事が増えるという皮肉が発生する。それでもIT化しなければ時代に取り残されるので、こうしたところに経営者がコストを割かなければならない。
次のページ
ポストコロナ社会のセキュリティ
1
2
3
前回の記事
一番最初の記事
ゲーム開発者が見たギークニュースの一覧へ
ハッシュタグ
 IPA サイバー攻撃 サイバー犯罪 テレワーク 情報セキュリティ