独立行政法人情報処理推進機構(IPA)が最新版の「情報セキュリティ 10 大脅威」を 1 月 27 日に公開しました。毎年恒例の「情報セキュリティ 10 大脅威」ですが、今年のランキングは例年とは少しばかり趣が異なるようで…。
詳しい解説は、2 月下旬に IPA のサイトで公開されるそうですが、ちょっとだけ先取りしてこのランキングを読み解いてみたいと思います。
本コラムでは、「情報セキュリティ 10 大脅威 2021」の「組織編」を取り上げ、セキュリティ対策のポイントを考えていきます。
「情報セキュリティ 10 大脅威」とは
ご存知の方も多いと思いますが、「情報セキュリティ 10 大脅威」は、独立行政法人情報処理推進機構(IPA)が情報セキュリティにおける脅威を選定し、ランキングにしたものです。毎年、発表の前年に発生した情報セキュリティ事故や攻撃などから、社会的な影響が大きかったトピック上位 10 個を発表しています。
気になる「情報セキュリティ 10 大脅威 2021」の結果は…?
つい先日公開された「情報セキュリティ 10 大脅威 2021」は、“ 新型コロナウイルス感染症の影響を受けている ”と言えそうです。というのも、新型コロナウイルス感染症対策として、在宅勤務やテレワークが広く実施され、人々の働き方や組織の体制が変わったことによって生まれた弱点を突く脅威が台頭しているのです。初めてランクインした「第 3 位 テレワーク等のニューノーマルな働き方を狙った攻撃」がその筆頭です。
IPA(独立行政法人情報処理推進機構)情報セキュリティ10大脅威 2021をもとに IBC にて作成
ニューノーマルな働き方にセキュリティが追いつけない?
先述の通り、初めて「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしているように、人々がニューノーマルな働き方をしていくために求められるだけのセキュリティ対策がおこなえていないのが現状のようです。
また、「第 7 位 予期せぬ IT 基盤の障害に伴う業務停止」や「第 8 位 インターネット上のサービスへの不正ログイン」などからも、組織が IT 環境の整備や必要なセキュリティ対策を充分におこなえていないことがうかがえます。
どのような対策が必要なのか
では、どのような対策が必要なのでしょうか。具体的に考えてみたいと思います。紙幅の都合上、ランキングから個人的に気になったトピックをピックアップします。
「ランサムウェアによる被害」
まず、第 1 位に選出されている「ランサムウェアによる被害」を取り上げます。「ランサムウェア」とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、感染した PC に “ パスワード付きの暗号化 ”といった制限をかけ、その制限の解除と引き換えに金銭を要求する不正なプログラムの総称です。
数年前にも、WannaCry の大流行による被害報告が多数ありましたが、2020 年もランサムウェアの被害が拡大していました。2020 年のランサムウェアは、従来の不特定多数に攻撃するばらまき型から変化し、特定の対象を標的にした攻撃であることが特徴です。アンチウィルス、不正アクセス対策、脆弱性対策といった基本的な対策を、確実かつ多層的に適用することが重要になります。
IPA【注意喚起】事業継続を脅かす新たなランサムウェア攻撃についてをもとに IBC にて作成
過去のコラムで詳しくご説明しております。
第 72 回:緊急提言│ランサムウェア感染による被害の拡大とセキュリティ対策のポイント
「内部不正による情報漏えい」、「不注意による情報漏えい等の被害」
次に、「第 6 位 内部不正による情報漏えい」と「第 9 位 不注意による情報漏えい等の被害」について考えてみたいと思います。従業員などが不正に内部の情報を持ち出し、悪用する「内部不正による情報漏えい」や、メールの誤送信など故意ではない「不注意による情報漏えい等の被害」は、対策しようがないようにも思えます。
しかし、ログを統合的に管理しておけば、ログを証拠として残しておくことができるので、情報漏えいが発覚した際に有効です。また、故意ではないミスによる情報漏えいであった場合に、ログが証拠となれば従業員を守ることもできます。
過去のコラムで詳しくご説明しております。
第 73 回:何のためにログを管理するのか ~ 収集・蓄積で終わらない、活用するためのログ管理
「予期せぬ IT 基盤の障害に伴う業務停止」
続いて、「第 7 位 予期せぬ IT 基盤の障害に伴う業務停止」について考えたいと思います。業務システムのために使用している IT 基盤(ネットワークやクラウド、サービス、データセンターなど)に予期せぬ障害が発生してしまうと、従業員の業務が中断され、仕事どころではなくなってしまいます。業務停止時間が長くなってしまえば、事業そのものの妨げとなってしまいます。
また、ユーザー向けのサービスを提供している企業であれば、従業員だけではなく、そのサービスの利用者である顧客にも迷惑をかけることになります。そうなってしまえば、顧客からの信頼を失いかねません。
対策としては、システムの冗長化やシステム全体の情報管理 / 性能管理が考えられます。
IBC では、独自のノウハウを活かして 障害が起こらない環境づくり をご支援しております。
◆システム情報管理ソフトウェア System Answer G3
「脆弱性対策情報の公開に伴う悪用増加」
最後に、「第10位 脆弱性対策情報の公開に伴う悪用増加」について解説します。「脆弱性対策情報の公開に伴う悪用増加」とは、公開されている脆弱性情報を悪用し、セキュリティパッチ(脆弱性などの問題を修正するためのプログラム)を適用していない利用者に対して仕掛けられる攻撃が増えている、ということになります。本来、脆弱性対策情報の公開は、その脆弱性の脅威を世間に知らしめ、対策を呼び掛けるためにおこなわれています。ですが、悪意をもった攻撃者は、この脆弱性対策情報を悪用し、未対策の利用者を狙って攻撃するのです。
被害を防ぐためには、脆弱性情報が発表され、セキュリティパッチが公開されたら、即座に適用することが必要です。そのためにも、日頃から脆弱性管理をおこなっていると良いでしょう。
しかし、「じゃあ早速、脆弱性管理をしよう!」と思っても、なかなか簡単ではないようです。脆弱性管理を始めたいけれど「ベンダーの良し悪しが判断できない」、ベンダーを利用しているけれど「報告内容の品質に差があるため、ベンダーを変更したい」あるいは「脆弱性診断開始までのリードタイムが長くて対応が遅れている」などといった課題を、お客様からうかがうことが多くあります。
IBC では、診断から保護まで、企業のセキュリティ課題に応じたソリューションをワンストップで提供しています。ツールによる自動診断と手動診断を組み合わせることで、コストとセキュリティを両立する効率的なセキュリティ診断が可能になっています。また、複数の専門業者と連携し、お客様のニーズにあった脆弱性診断サービスを提供しているため、先述のような課題の解決はもちろんのこと、お客様にとって最適な脆弱性管理をおこなっていただけます。
サービスの詳細は、下記からご確認いただければ幸いです。
◆セキュリティアセスメントサービス IBC – SAS
以上、「情報セキュリティ 10 大脅威 2021」の「組織編」から、セキュリティ対策のポイントを考えてみました。
皆さまが、セキュリティ対策を検討される際の一助になれば幸いです。
【参考】
IPA(独立行政法人情報処理推進機構)情報セキュリティ10大脅威 2021
IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2020」解説書
セキュリティ対策に関してお悩みがございましたら、お気軽にご相談ください。
by カスタマーサクセス部 マーケティング & コミュニケーショングループ 西原 麻里子
