IPAが毎年発表している「情報セキュリティ10大脅威」ですが、最新の2020版がついに1月29日に公開されました!
セキュリティ業界人のみならず、世間の注目度が高い本選出結果ですが、今年は大幅に順位を上げた注目の脅威がありました。2019年の世間動向が反映されていて、知っておいて損はない情報です。
本記事では、中でも特に注目したいポイントと各脅威への対策をまとめています。なお、情報セキュリティ10大脅威では「個人編」と「組織編」がありますが、本記事では全編通して「組織編」について扱います。
IPA10大脅威2020公開!2019との違いは?
そもそも「情報セキュリティ10大脅威」をご存知の方はどのくらいいらっしゃるでしょうか。毎年のトレンド把握のために、セキュリティ対策計画のネタとして、などなど色々な目的でチェックしているという方も多いのではないでしょうか。
我々セキュリティ業界の人間は毎年恒例行事の一つとしてウォッチしています。
Secure SketCHでは昨年も「情報セキュリティ10大脅威2019」についての解説ブログを書きましたが、念の為、「情報セキュリティ10大脅威2020」をご存知ない方のためにIPAのプレスリリースから引用した文を載せておきます。
2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。https://www.ipa.go.jp/security/vuln/10threats2020.html
前置きが長くなりましたが、結果です。
「情報セキュリティ10大脅威」の2019年と2020年を比較すると以下のようになりました。
図. IPA「情報セキュリティ10大脅威 2020:組織編」を元にNRIセキュアが作成
順位の変動はありますが、9個が昨年と同じくランクイン、初ランクインした脅威はありませんでした。
※6位「予期せぬIT基盤の障害に伴う業務停止」は16位からのランクアップ
2017年は「Mirai」、2018年は「ビジネスEメール詐欺」、2019年は「Emotet」といったように、世間を騒がせたキーワードは毎年異なります。これらのキーワードの変遷が順位にどう影響したのか、もう少し詳細に見ていきましょう。
順位を上げた脅威
- ・内部不正による情報漏えい(5位→2位)
- ・予期せぬIT基盤の障害に伴う業務停止(16位→6位)
- ・不注意による情報漏えい(規則は厳守)(10位→7位)
「内部不正による情報漏えい」は8位(2018)→5位(2019)→2位(2020)とじわじわと順位を上げ、ついに2位まで浮上しました。とは言え2016年から5年連続で1位の「標的型攻撃による被害」を追い抜くまでには至りませんでした。やはり被害件数の多さでは圧倒的でしょう。
「予期せぬIT基盤の障害に伴う業務停止」は16位→6位と大幅に順位を上げ、「脆弱性対策情報の公開に伴う悪用増加」をランク外に押し出す結果となりました。
その他昨年初ラインクインした「サプライチェーンの弱点を悪用した攻撃の高まり」も順位を下げることなく変わらず4位でした。
順位が下がった脅威
- ・ビジネスメール詐欺(2位→3位)
- ・ランサムウェアによる被害(3位→5位)
- ・インターネットサービスからの個人情報の窃取(7位→8位)
- ・IoT機器の脆弱性の不正利用(8位→9位)
- ・サービス妨害攻撃によるサービスの停止(6位→10位)
- ・脆弱性対策情報の公開に伴う悪用増加(9位→ランク外)
いずれのも順位が上がった脅威と入れ替わる形で、少しずつ順位を下げた印象です。
「サービス妨害攻撃によるサービスの停止」が目立って順位を下げたように見えますが、9位(2018)→6位(2019)→10位(2020)という変遷なので、元の位置に戻ったとも言えます。とりわけ2018年のMiraiボットネットによるDDoS攻撃は世間を賑わせましたから、昨年の脅威ランキングで順位が一時的に上がったと見るのが自然ではないでしょうか。
各脅威への対策とは?
では、これらの脅威にはどのように対策していけばよいのでしょうか?抑えておきたいポイントをそれぞれ簡単に解説します。
1位 標的型攻撃による被害
■脅威の内容
標的型メールに代表される攻撃で、特定の組織を狙ってメールの添付ファイルを開かせるように誘導したり、悪意あるウェブサイトにアクセスさせて、ウイルス感染させる被害のこと。
■コメント
昨年12月に多くの企業が感染した「Emotet」も、不審メールを媒体に被害が拡大しました。今まで不自然だった日本語メールもだいぶ違和感が減り、不審メールと見分けるのが困難になってきています。年末は少し攻撃が落ち着いていましたが、年始になって再び攻撃が増加していますので引き続き注意が必要です。
【総括】猛威を振るうEmotetの感染要因と対策|SOC 検知データから徹底解説
■対策例
標的型メール訓練の実施など、従業員のリテラシー向上を図る
■合わせて読みたい記事
【e-Book】特集 標的型メール2位 内部不正による情報漏えい
■脅威の内容
従業員や委託作業員などが不正に内部情報を持ち出し、第三者に販売したり悪用すること。
■コメント
行政機関のHDDが委託業者によって横流しされていた事件は、ニュースなどでも大々的に取り上げられ、記憶に新しいのではないでしょうか。委託先業者の杜撰な管理体制が明るみになるなど、サプライチェーン管理と合わせて注目したい脅威です。
■対策例
アクセス権限の見直し
外部記憶媒体などの利用制限
退職者のアカウントの削除
■合わせて読みたい記事
内部不正対策はセキュリティの「最初の一歩」|効率的な対策のステップとは?
3位 ビジネスメール詐欺による被害
■脅威の内容
攻撃者が企業の従業員を騙し、経営者などの名を騙ってメールで送金指示を出し、実際に口座へと送金させる詐欺の手口のこと。攻撃者は事前に企業のメールを盗み見るなどして、本物と見間違うような巧妙なメール文で攻撃を仕掛けてくる。
■コメント
2018年に世間を大きく賑わせたビジネスメール詐欺ですが、2019年も引き続き被害が報告されており、中には1,000万円を超える被害も発生しています。
■対策例
送金指示の真正性を電話でも確認するなど、送金フローの見直し
不審メールに気づくための従業員への教育
【e-Book】NRI Secure Insight 2019~企業における情報セキュリティ実態調査~
4位 サプライチェーンの弱点を悪用した攻撃の高まり
■脅威の内容
系列企業やビジネスパートナーを含めたサプライチェーン全体でのセキュリティ対策の弱点を突いて、被害をサプライチェーン全体に拡大させること。
■コメント
2位の「内部不正による情報漏えい」で紹介した事件も委託先管理の甘さが招いたものでした。海外子会社のセキュリティホールから日本本社のシステムに侵入され、情報漏えいが起きてしまった被害も報告されています。本脅威は昨年に初ランクインし、今年も順位を落とすことなく上位でした。引き続き注意が必要です。
■対策例
サプライチェーン全体のセキュリティ対策状況の把握
系列企業やビジネスパートナーへのセキュリティ対策の改善要求
■合わせて読みたい記事
サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる
DX時代のセキュリティ評価「SRS」とは?| 作業負荷ゼロで効率的にサプライチェーン攻撃へ対策
5位 ランサムウェアによる被害
■脅威の内容
ウイルスの一種であるランサムウェアに感染するとPCに保存されているファイルが暗号化され、攻撃者は暗号化解除や復旧を目的に金銭を要求する。
■コメント
2位(2018)→3位(2019)→5位(2020)と徐々に順位を落としているランサムウェアですが、海外では複数工場が操業停止に追い込まれ数十億円にものぼる被害が発生した事例も報告されています。標的型メール攻撃と合わせて引き続き注意が必要です。
■対策例
日頃からバックアップを取得する
マルウェア対策ソフトの導入
■合わせて読みたい記事
【検知】メール件名が顔文字の不審メール|ランサムウェアNemty
ランサムウェアの「今」と「未来」、世界最大級のイベントから見えた最新動向
6位 予期せぬIT基盤の障害に伴う業務停止
■脅威の内容
システム不具合や設定ミスによりサーバなどのインフラに障害が発生し、業務停止が余儀なくされること。
■コメント
昨年夏にAWSは冷却制御システムのバグで大規模障害をおこしました。一時的にシステムが使えず業務に支障をきたした、という方も多いのではないでしょうか。本脅威はそれらの影響の大きさから大きく順位を上げてランクインしたものと思われます。非常時に重要システムを止めないために、できる対策を平時から検討する必要があります。
■対策例
システムの冗長化
IT-BCPの整備
7位 不注意による情報漏えい(規則は遵守)
■脅威の内容
メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうこと。
■コメント
クラウド上での情報開示の設定ミスや、アップロード先の誤りなど、情報漏えいの報告は絶えません。今一度設定確認や、ヒューマンエラーは発生すること前提とした技術対策の導入を検討いただきたいです。
■対策例
従業員への教育
メール誤送信防止ソリューションの導入
■合わせて読みたい記事
クラウド利用時の情報セキュリティガバナンスの課題とセキュリティ対策の注意点
クラウドからの情報漏洩、原因となる「設定ミス」を防止するためのポイントとは?
8位 インターネットサービスからの個人情報の窃取
■脅威の内容
アプリケーションやソフトウェアの脆弱性を突く攻撃を仕掛け、サービス上の個人情報などを不正に窃取すること。
■コメント
昨年も多くの脆弱性と、それを悪用した事件が報告されました。2019年の6位から順位は下げましたが、アプリケーションやソフトウェアの脆弱性管理は基本的なセキュリティ対策として引き続き取り組む必要があります。
■対策例
パッチ公開後の速やかな適用
アプリケーション診断
■合わせて読みたい記事
【検証】PHPのコマンド実行の脆弱性を悪用する攻撃通信の検知 (CVE-2019-11043)
【検証と観測】Oracle WebLogic Serverの脆弱性(CVE-2019-2725)
9位 IoT機器の不正利用
■脅威の内容
IoT機器の脆弱性を悪用して、機器を遠隔操作したり、IoT機器を踏み台としてDDoS攻撃を仕掛けたりすること。
■コメント
車の自動運転や工場機器のオートメーション化など、身近なところを含めてIoT機器の存在感が増していると感じる方も多いのではないでしょうか。IoT機器の脅威はサイバー空間だけではなく、フィジカル空間にも影響を及ぼします。IoTは提供者側も利用者側もセキュリティを意識することが求められます。
■対策例
パッチ公開後の速やかな適用
不要な機能の無効化
■合わせて読みたい記事
10位 サービス妨害攻撃によるサービスの停止
■脅威の内容
サーバに高負荷をかけるような通信を大量に送りつける攻撃により、サービスが停止あるいは正常に稼働しなくなること。
■コメント
順位を大幅に下げたDDoS攻撃ですが、他の脅威に比べて目立った被害は報告されませんでした。しかし、2018年のMiraiボットネットによるDDoS攻撃被害でプロバイダーなどがサービス停止した事例は記憶に新しく、今後も予断を許しません。
■対策例
DDoS軽減ソリューションの導入
■合わせて読みたい記事
番外編:個人編1位は「あの」脅威
通常、組織編のみを扱う本記事ですが、個人編の1位が2019年を象徴するような脅威だったため、取り上げます!
ずばり、個人編1位は初ランクインの「スマホ決済の不正利用」でした。
キャッシュレス元年、などと言われることも多かった昨年ですが、スマホ決済の不正利用による被害は甚大で、サービス停止を余儀なくされる事態にまで陥りました。DX(デジタルトランスフォーメーション)推進が叫ばれ、IT活用の差がビジネス競争にも影響を及ぼす昨今、デジタルサービス企画にはセキュリティの検討が欠かせないことを実感した事件でした。
デジタルサービスに生まれるセキュリティの「穴」、引き起こす3つの原因と対策
おわりに
「情報セキュリティ10大脅威」ですが、私なりの解釈をご紹介してまいりました。皆様はどのように読み解かれたでしょうか?
なお、各脅威の詳細な解説は2月中旬頃にIPAのサイトで公開予定とのことです。
⇒各脅威の解説資料が公開されました。(2020年2月28日追記)
「情報セキュリティ10大脅威 2020」 各脅威の解説資料(https://www.ipa.go.jp/files/000080532.pdf)
「内部不正による情報漏えい」や「サプライチェーンの弱点を悪用した攻撃」が世間を賑わせた2019年、サプライチェーンのセキュリティ管理が今一度注目を浴びました。まずは各社の現状把握が欠かせませんが、「手軽」に「大量の」、各社「同じ評価軸」でセキュリティ対策状況を可視化するのは簡単なことではありません。
しかし、Secure SketCHを使えばそれが簡単に実現できます。
是非、サプライチェーンのセキュリティ現状把握にはSecure SketCHをご活用ください!