情報セキュリティに関連する脅威は年々増加の傾向にあり、企業規模を問わず依然として被害が相次いでいます。今回は「情報セキュリティ10大脅威 2024」から、最新の情報セキュリティ脅威の傾向を踏まえ、特に注視すべきポイントと、企業が取り組むべき対策について解説します。
今回のお悩み
最新の情報セキュリティ脅威はどのようなものが存在し、自社に関連するものがあるのか。企業が抑えておくべき有効な対策方法について教えてほしい。
私が解説します!
IPA(独立行政法人
情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」をもとに、組織に対する脅威の傾向とポイントをご紹介します。また、これらの脅威にはどのような取り組みが有効か、対策方法を含めて解説しますので、セキュリティ対策の一環としてぜひ参考にしてください。
目次
( 1 ) 「情報セキュリティ10大脅威」とは
「情報セキュリティ10大脅威」とは、IPAが2006年から毎年発行している資料です。前年に発生したセキュリティ事故や攻撃の状況等からIPAが脅威候補を選出します。セキュリティ専門家や企業のシステム担当など約200名のメンバーから構成される「10大脅威選考会」が投票し、TOP10入りした脅威を「10大脅威」として脅威の概要、被害事例、対策方法等を解説しています。
2023年に発生した情報セキュリティにおける事案を対象に、個人・組織別に脅威をランキングした「情報セキュリティ10大脅威 2024」から組織編について紹介します。
【情報セキュリティ10大脅威 2024 脅威ランキング(組織編)】
( 2 ) 情報セキュリティ10大脅威2024のポイント
「組織」向け脅威では、2023年版と比較して順位に若干の変動はあるものの、脅威の種類に大きな変化は見られません。特に1位と2位は前年と同様で、「ランサムウェアによる被害」は4年連続1位、「サプライチェーンの弱点を悪用した攻撃」は2019年の初選出から年々順位を上げ、2年連続2位にランクインしました。また、コロナ禍の影響が少なくなったことで、テレワーク等を狙った攻撃はランキングを下げています。
「個人」向け脅威は今年から順位付けがなくなり、五十音順の表記に変更されています。ランキングの順位を危険度の高さと誤って認識し、順位が高い脅威を優先してしまい、下位の脅威の対策が疎かになることを懸念しての変更です。各脅威の危険度は個人によって異なるため、ランキングに捉われず、自身に関係がありそうな脅威に対して、必要な対策を講じることが重要です。
( 3 ) 10大脅威の中で特に気を付けるべきもの
ランキングされた脅威は、大きく「ネットワークを狙った技術的脅威」と「人為的な脅威」の2つの要因に分類されます。
●ネットワークを狙った技術的脅威
1位のランサムウェアをはじめ、2位以下のサプライチェーン攻撃、標的型攻撃、ゼロティ攻撃など、外部からのネットワーク攻撃によるもので、主にマルウェアに感染させて情報の搾取や金銭要求を行います。ID・パスワードの不正入手、ネットワークの脆弱性を突いた不正アクセスなども、手法は違うものの目的は同様です。
●人為的な脅威
近年、被害が増加しているのが人為的な脅威による被害です。「内部不正による情報漏えい等の被害(3位)」と「不注意による情報漏えい等の被害(6位)」は前年から順位が上がっており、故意と過失という違いはあるものの、組織の関係者(従業員・退職者・業務委託者等)による人的要因が多くの情報漏洩を引き起こしています。
情報漏洩による被害は、金銭的なものだけでなく、顧客や取引先からの信用の失墜、自社のイメージの低下など、ダメージは計り知れません。基本的な対策を徹底すると同時に、巧妙化する個別のリスクに対する情報収集や知識の共有、外部からのネットワーク接続に対するセキュリティの強化、被害の早期検知などもポイントとなります。
また、「知らなかった」「ついうっかり」という不注意による事故は、運用体制のルール化や教育・研修によるリテラシーの向上で減らすことができます。機密情報の利用者管理、ルール化による情報管理の厳格化は内部不正の抑制にもつながります。
( 4 ) 10大脅威への対策
情報セキュリティ脅威には、「脆弱性を悪用する」「ウイルスに感染させる」といった基本的な手口が使われています。さまざまな脅威から自社を守るためには、従業員の教育をはじめ、リスクマネジメント体制の構築、セキュリティソフトの活用などの基本的な対策に加え、現行のセキュリティ対策の見直しが重要です。
ここでは、「情報セキュリティ10大脅威2024」の組織編にランクインした主な脅威に対して、企業が実践すべき対策例をご紹介します。
脅威 | 対策例 |
---|---|
ランサムウェアによる 被害 |
・定期的なバックアップの実施
・多要素認証など強固な認証方式の設定 ・共有サーバーへのアクセス権限の見直し ・電子メールの添付ファイルやリンクの警戒 |
サプライチェーンの 弱点を悪用した攻撃 |
・OSやソフトウェアは常に最新バージョンに更新
・パスワードの管理・認証の強化 ・取引先などへのセキュリティ対策の確認・改善要求 ・攻撃発生時におけるネットワーク内の連絡フローの策定 |
内部不正による 情報漏えい等の被害 |
・重要情報のアクセス権限の見直し、管理の徹底 ・アクセス履歴や操作ログなどの監視システムの導入 ・定期的な内部監査の実施 ・情報セキュリティ、リテラシー教育の実施 |
標的型攻撃による 機密情報の窃取 |
・監査ログの定期的なチェック ・重要情報の暗号化とバックアップ ・組織全体のセキュリティ体制の管理と運用規則の策定 ・最新の攻撃手法を反映した定期的な対策訓練を実施 |
修正プログラムの 公開前を狙う攻撃 (ゼロデイ攻撃) |
・脆弱性を早期発見できる監視体制やツールの整備 ・重要情報の暗号化とネットワークからの隔離 ・OSやソフトウェアの速やかなバージョンアップ ・脆弱性対応などのサポートが受けられるソフトウェアの利用 |
不注意による 情報漏えい等の被害 |
・従業員のリテラシー向上、セキュリティルールの策定 ・外部に持ち出す情報や端末の制限・管理 ・メール誤送信を防止する適切な対策とツールの導入 ・外部との適切なデータ送受信のルール策定 |
( 5 ) 複数のセキュリティ脅威への対策が可能なUTM
さまざまなセキュリティ機器やソフトウェアを駆使して備えを行うことは有効ですが、コストや運用面から考えるとあまり現実的とはいえません。
サクサでは、ワンストップで複数のセキュリティ対策を行う「UTM(統合脅威管理アプライアンス)SS7000Ⅲ」による課題解決をご提案しています。
●1台でさまざまな脅威に対応
- Webフィルタリング
- アンチウイルス
- 迷惑メールブロック
- 侵入検知/防止
- VPN接続(※1)
「SS7000Ⅲ」は、内外部からの不正アクセスを防止する機能はもちろん、ファームウェア(※2)やウイルス検知ファイルを自動で更新し、最新のセキュアなネットワーク環境を構築します。1台で強固なセキュリティ対策を一元管理できるため、専門の部署や担当者を配置する必要がなく、コスト面の負担も軽減されます。万一の場合は、専門スタッフによる電話サポートや、無料のウイルス駆除サービス、付帯のサイバー保険で補償も受けられるので安心です。
※1 VPN接続:「Virtual Private Network」の略で、「仮想の専用線」の意味。インターネットをはじめとするネットワーク上に仮想的な専用ネットワークを構築して行う通信のこと。※2 ファームウェア:さまざまな機器に内蔵されているコンピュータシステムを制御するためのソフトウェア。
( 6 ) まとめ
ここまで、IPAの「情報セキュリティ10大脅威2024」に基づき、企業に被害を及ぼす脅威と対策について解説してきました。多様化するサイバー攻撃に加え、不正や不注意による人為的な脅威にも関心が高まっており、セキュリティ対策は企業のリスク管理に欠かせない要素です。規模の大きさに関わらず、最新の脅威情報を把握したうえで自社のセキュリティを見直し、適切かつ迅速な対策を講じることが重要です。
サクサは情報セキュリティの脅威に対し、さまざまな情報セキュリティ機器のご提案を通して、中堅・中小企業の課題解決をサポートさせていただきます。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。