IPA 情報セキュリティ10大脅威 2021 から考える「ポストコロナ社会のセキュリティ」

今年の情報セキュリティ10大脅威 組織部門

 次に、組織部門である。 1位 ランサムウェアによる被害 2位 標的型攻撃による機密情報の窃取 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位 サプライチェーンの弱点を悪用した攻撃 5位 ビジネスメール詐欺による金銭被害 6位 内部不正による情報漏えい 7位 予期せぬIT基盤の障害に伴う業務停止 8位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位 脆弱性対策情報の公開に伴う悪用増加  組織部門で注目すべき点は、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。これまで社内のパソコンで仕事をして、社内のネットワークでデータをやり取りしていたのが、自宅勤務により、各自の自宅で仕事をしてインターネット経由でデータをやり取りするようになった。  仮想専用回線などを利用してデータをやり取りする企業もあるだろうが、全ての企業が、そうした措置をとるわけではない。また、個人のパソコンで仕事をしているところもあるだろう。セキュリティのルールをどうするかなど、慌ただしく移行した場合には、適切なルールが存在しないこともあるはずだ。  そうした状態での、新しいセキュリティ的な脅威が多数発生していることは、想像に難くない。  さて、残りの順位も見ていこう。1位の「ランサムウェアによる被害」は、ファイルを暗号化するなどして重要なデータを人質に取り、その救出のために身の代金を払わせるという攻撃だ。  この脅威は、2020年は5位、2019年は3位、2018年、2017年は2位、2016年は7位になっている。データをもとにサービスを提供している会社にとって、データが人質に取られるのは致命的だ。個人を狙う攻撃が、広く浅く金を得るやり方だとすると、組織を狙う攻撃は、大きな金額を一発で得るやり方だと言える。こうした攻撃は、成功したときの金額が大きいので、攻撃者側にとって旨味が大きい。  2位は「標的型攻撃による機密情報の窃取」だ。先ほどと同じ理由で、金を持っている企業は、攻撃対象として狙われやすい。標的型攻撃は、攻撃対象の情報を集めて、カスタマイズした攻撃をおこなう方法だ。こうした攻撃は、金銭目的だけではなく、国家間の諜報でも用いられる。防衛関係の企業などが狙われているのは、そうした背景がある。  この脅威は、2020年から2016年にかけて連続1位だ。2015年に3位になっているが、それ以前はずっと1位か2位が続いている。企業が最も気を付けなければならない脅威だと言える。  4位は「サプライチェーンの弱点を悪用した攻撃」だ。サプライチェーンは、調達や製造、在庫管理や物流、販売といった企業間のつながりのことだ。こうした繋がりの弱点を足掛かりにして、攻撃を広げていく手法を指す。  この脅威は、2020年、2019年ともに4位で、2019年から10大脅威に登場した。一社だけで防備を固めていても防げない厄介な攻撃だと言える。  5位は「ビジネスメール詐欺による金銭被害」だ。「口座が変わった」などの嘘の情報を送り、攻撃者の口座にお金を振り込ませるといった手口だ。直接的にお金を盗まれるので、高額な被害になることが多い。  この脅威は、2020年には3位、2019年には2位、2018年には3位となっている。近年脅威が警告されている攻撃手法だ。

便利にするはずのIT化が生み出すコスト

 6位は「内部不正による情報漏えい」だ。廃棄予定のHDDの販売や、情報を盗んでの販売や転職などが当たる。内部不正は、内部事情を知り尽くしている人がおこなうので防ぐのは難しい。内部の管理がずさんになっていたり、経営陣が恨みを持たれていたり、理由も千差万別だろう。  この脅威は、2020年には2位、2019年には5位、2018年には8位、2017年には5位、2016年、2015には2位、2013年には9位、2012年には7位となっている。大きな内部不正があると順位が高くなるが、基本的には常時発生していて、問題になっている脅威だと言える。  7位は「予期せぬIT基盤の障害に伴う業務停止」だ。東証の停止などは記憶に新しい。他にもクラウドの停止など、業務が止まることはたびたび発生する。こうしたトラブルを完璧に防ぐことは難しいだろう。停止を少なくすることは当然として、停止する前提で、日頃から準備をしておく必要がある。  この脅威は、2020年に6位で初登場している。世の中の仕組みが、IT中心になってきたことの、ある意味証拠かもしれない。  8位は「インターネット上のサービスへの不正ログイン」だ。この年、10大脅威に初登場したが、常時どこかで起きている脅威だ。  9位は「不注意による情報漏えい等の被害」だ。よくあるトラブルは、ノートパソコンを入れた鞄を忘れる、添付付きメールの誤送信などだ。人間なので、どんなに注意していても発生してしまう。意識を高めることも重要だが、ルール作りや運用、ソフトウェアによるチェックなど、システム側で被害を減らす工夫も必要になる。  この脅威は、2020年は7位、2019年は10位となり、近年注目され始めたことが分かる。  10位は「脆弱性対策情報の公開に伴う悪用増加」だ。この年に初登場した10大脅威だ。脆弱性対策情報が公開されたら、素早くその対策を実施しなければならない。しかし、その脆弱性への対策をおこなわない人や組織も多い。その結果、脆弱性だけが悪用されて、攻撃の材料になる。  ITが業務の中心になると、こうした対策を常時おこなわなければならなくなる。仕事を楽にするためにITを導入しているのに、仕事が増えるという皮肉が発生する。それでもIT化しなければ時代に取り残されるので、こうしたところに経営者がコストを割かなければならない。
次のページ
ポストコロナ社会のセキュリティ
1
2
3