IPA調べ 情報セキュリティ10大脅威 2024 が発表されました
2024.03.07
情報セキュリティ10大脅威とは?
IPA(独立行政法人 情報処理推進機構)が2006年より毎年発表している「情報セキュリティ10大脅威」。
前年に発生したセキュリティ事故等からIPAが脅威候補を選出・投票し、事例や対策方法等を解説したものです。
2024年1月24日に公開された「情報セキュリティ10大脅威 2024」は、2023年に起きたセキュリティ事故の統計となります。
情報セキュリティ10大脅威 2024 組織部門TOP10
引用:https://www.ipa.go.jp/security/10threats/10threats2024.html
「組織」向け脅威と「個人」向け脅威それぞれのTOP10がIPAから発表されており、中小企業に関係のある「組織」向け脅威の2023年については以下のような順位になっています。
▼組織部門TOP3
1位:ランサムウェアによる被害 前年1位
2位:サプライチェーンの弱点を悪用した攻撃 前年3位
3位:内部不正による情報漏えい等の被害 前年4位
4位:標的型攻撃による機密情報の窃取 前年3位
5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 前年6位
6位:不注意による情報漏えい等の被害 前年9位
7位:脆弱性対策情報の公開に伴う悪用増加 前年8位
8位:ビジネスメール詐欺による金銭被害 前年7位
9位:テレワーク等のニューノーマルな働き方を狙った攻撃 前年5位
10位:犯罪のビジネス化(アンダーグラウンドサービス) 前年10位
順位の変動はありましたが、前年と同じ10項目がランクインしました。
ほとんどの項目が変動しても±1位なことと比較すると、以下の2つは比較的大きな順位変動があったと言えます。
- 前年より4位ダウンした「9位:テレワーク等のニューノーマルな働き方を狙った攻撃」
- 前年より3位アップした「6位:不注意による情報漏えい等の被害」
コロナウイルスが収まったことにより、テレワークという働き方から従来の出社スタイルに戻りつつあるということが「9位:テレワーク等のニューノーマルな働き方を狙った攻撃」のランクダウンに繋がっていると予想されます。
また、コロナ禍におけるテレワークを実現するため、DXや社内のシステム変更をした会社も多いのではないでしょうか。
もちろんコロナ禍とは関係なく、会社の業務効率化等のためシステムがクラウドに移行している傾向のある現在、新しいシステムに不慣れという要因から「6位:不注意による情報漏えい等の被害」が増加したという側面もあるのではと考えられます。
9年連続第1位! ランサムウェアとは
“ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。”
引用:https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
「ランサムウェア」という言葉を聞いたことのある方は多いのではないでしょうか。
それもそのはず、なんと情報セキュリティ10大脅威 では9年連続第1位!
近年、手口の巧妙化・要求金額の高額化も進んでいます。
「狙われるのは大きな企業。うちみたいな中小企業は大丈夫でしょう。」と考えるのはとても危険です。
「2位:サプライチェーンの弱点を悪用した攻撃」とあるように、大企業への攻撃を目的として、そのサプライチェーンに含まれる中小企業にアタックをするという手法は珍しいものではありません。
ランサムウェアとサプライチェーンについては過去のコラムでもご紹介しているので、こちらの記事も併せてご覧ください。
どうやって対策すればいい?
ランサムウェアの他、上記のように多数の脅威があっても「攻撃の糸口」は似通っており「情報セキュリティ対策の基本」としてIPAは以下の通り挙げています。
- ソフトウェアの更新
- セキュリティソフトの利用
- パスワードの管理・認証の強化
- 設定の見直し
- 誘導の手口を知る
引用:https://www.ipa.go.jp/security/10threats/ps6vr70000009r3z-att/setsumei_2023_soshiki.pdf
WindowsユーザーであればWindowsアップデートは常に最新化されているか
会社のデバイスすべてにセキュリティソフトが入っているか
パスワード窃取や設定不備によるリスク対策が行われているか
などの基本を常に意識することが重要です。
クラウド利用を想定した+αの対策も
クラウドサービスの利用も一般的となった現在、上記の基本に加えて+αの対策も行う必要があります。
- 責任範囲の明確化(理解)
インシデント発生時に誰が対応する責任があるのかを明確化する。 - 代替案の準備
業務が停止しないように代替策を準備する。 - 設定の見直し
仕様変更により意図せず変更された設定を適切な設定に直す。
設定不備による情報漏洩や攻撃への悪用を防止する。
引用:https://www.ipa.go.jp/security/10threats/ps6vr70000009r3e-att/kihontokyoutsuu_2023.pdf
皆様の会社ではいかがでしょうか。
今一度、ソフトウェアの状態やパスワード運用、設定状況の振り返りを行うとともに、インシデント発生時のシミュレーションをご確認ください。
セキュリティ対策相談
上記の通り、一つ一つの対策は比較的簡単であっても、個人情報や機密を扱う企業は多角的な視点からセキュリティを定期的にチェックすることが重要となります。
セキュリティ対策を見直したいけれど、チェックをする時間がない…そんな方へ
ネットリンクスではセキュリティ対策の無料相談を実施しております。
システムの状況や社内ルール等についてお伺いし、経営リスクや標的になるリスクがどのくらい高いのかを可視化します。
弊社スタッフの訪問・お客様のご来社・Zoom面談が対応可能です。
相談会ではお客様の会社に合ったツールのご提案をいたしますが、無理に勧めることはありませんのでご安心いただければと思います。
ご興味のある方は、ぜひご相談ください。
まとめ
何か実際に起きない限り、普段気にすることのない「セキュリティ」。
しかし一旦標的にされてしまうと、自社の大切なデータが突然失われる可能性は十分にあります。
そして自社データのみならず、関連会社のデータ、信頼、ひいてはそこで働く人の生活にも影響を及ぼしかねません。
セキュリティ未対策の方は、ぜひこの機会に自社セキュリティ状況を振り返ることをおすすめします。
岡山・香川のDXなら「おったまのDX研究所」におまかせ!
導入前のご相談から導入後のフォローまで手厚く対応いたします。
ご相談はお気軽にどうぞ!