独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の最新版が1月27日に公開されました。
セキュリティ業界のみならず、世間からの注目度も高いこのランキングですが、新型コロナウイルスの影響で組織の働き方に変化があったことから、例年とは少し異なる脅威が選出されている傾向が見受けられました。来年度のセキュリティ対策を計画するうえでも、ぜひご一読いただきたい情報が詰まっています。
「情報セキュリティ10大脅威」では「個人編」と「組織編」がありますが、本記事では、「組織編」のTOP10に選出された脅威について、特に注目したいポイントと対策をまとめ、解説していきます。
セキュリティ業界の人間は、毎年恒例の行事のひとつとしてウォッチしている「情報セキュリティ10大脅威」ですが、そもそもどのようなランキングなのでしょうか。
IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2021」は、IPA が2020年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
出所:IPA"「情報セキュリティ 10 大脅威 2021」を決定" https://www.ipa.go.jp/files/000088289.pdfより抜粋
※過去の解説ブログはこちら
IPAが「情報セキュリティ10大脅威2019」を公開!初ランクインの脅威とは?
IPAが「情報セキュリティ10大脅威2020」を公開!順位が上がった注目の脅威を解説
※当社が実施した「企業における情報セキュリティ実態調査2020」のレポートはこちら
「情報セキュリティ10大脅威 2021」の最大の特徴は、デジタルトランスフォーメーション(DX)、クラウドサービスやテレワークの普及はもちろん、新型コロナウイルスの影響で組織の働き方が変化した結果生まれてしまった弱点を突いた脅威が台頭していることです。
図:情報セキュリティ10大脅威「2020」と「2021」の比較
出所:IPA「情報セキュリティ10大脅威 2021:組織編」を元にNRIセキュアが作成
初めてランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃(3位)」をはじめ、「予期せぬIT基盤の障害に伴う業務停止(7位)」や「インターネット上のサービスへの不正ログイン(8位)」等からは、急速な働き方の変化に、IT環境の整備や適切なセキュリティ対策が追い付いていない印象を受けます。
2017年、Wannacryで一躍注目を集めたランサムウェアが、コロナ禍でも猛威を振るっています。2020年にも多くの企業がランサムウェアの被害に遭い、ニュースでも大きく取り上げられていました。ある病院では、ランサムウェア感染により数日間にわたって電子カルテが使えなくなるなど、命に関わる問題も発生しています。
さらに、「標的型攻撃による機密情報の窃取(2位)」「ビジネスメール詐欺による金銭被害(5位)」等、2019年のEmotet騒ぎから引き続き、攻撃手法にメールが使われることが多い脅威もランクインしています。オフィスであれば「変なメールが来ているね」と雑談のなかで警戒できていた不審メールも、自宅で一人でテレワークをしていると「つい開いてしまった」というケースもあったのではないしょうか。
昨年は9位にランクインしていた「IoT機器の不正利用」は、今年のランキングには入っていませんでしたが、IoT関連の脅威が無くなったわけではありません。2020年は、レベル3の自動運転(特定条件下における自動運転)が日本の公道で解禁された年でもありました。また、今後IoT技術を使ったオンライン診療がますます普及すると考えられますし、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」も整備されたばかりです。
引き続き、便利なIoT機器を安全かつ快適に活用していけるよう、セキュリティ対策を行うことが求められています。
では、これらの脅威にはどのような対策を行えばよいのでしょうか?脅威の概要や対策例、押さえておきたいポイントを解説します。
ウイルスの一種であるランサムウェアに感染するとPCに保存されているファイルが暗号化され、攻撃者は暗号化解除や復旧を目的に金銭を要求する。
■対策例
・ストレージの定期的なバックアップ
・重要なファイルへのアクセス権限を見直す
・エンドポイントセキュリティ製品の導入
■おすすめの解説記事
EDRへの移行ステップ|従来型アンチウイルス製品からの乗り換えノウハウ
【検知】メール件名が顔文字の不審メール|ランサムウェアNemty
■概要
標的型メールに代表される攻撃で、特定の組織を狙ってメールの添付ファイルを開かせるように誘導したり、悪意あるウェブサイトにアクセスさせてウイルス感染させる被害のこと。
■対策例
・標的型メール訓練の実施
・従業員一人ひとりのセキュリティリテラシー向上を図る
・不審なメールを簡単に報告できるようにするシステムづくり
■おすすめの解説記事
脱PPAP?「パスワード付きzipファイル」の⽂化からどう脱却するべきか
不審メールを見破るコツ、すぐに気づける人が見ているポイントとは?
■概要
ニューノーマルな働き方として一気に普及した「自宅からオフィスへのVPN接続」「Web会議サービスの利用」「私物のPCや自宅のインターネット環境の業務利用」「初めて使うリモートアクセス環境」などを狙った攻撃のこと。
■対策例
・テレワーク規定や運用ルールの整備
・セキュリティ教育の再実施
・テレワーク環境のセキュリティ対策の見直し
テレワーク時代のインシデント対応|事故事例から考える理想の対策
【解説】中小企業を守る、ウィズコロナ時代に不可欠なセキュリティ対策3選
■概要
系列企業やビジネスパートナーを含めたサプライチェーン全体でのセキュリティ対策の弱点を突いて、被害をサプライチェーン全体に拡大させること。
■対策例
・サプライチェーン全体のセキュリティ対策状況の把握
・系列企業やビジネスパートナーへのセキュリティ対策の改善要求
■おすすめの解説記事
【最新】経産省「サイバー・フィジカル・セキュリティ対策フレームワーク」を読み解く
サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる
■概要
攻撃者が企業の従業員を騙し、経営者などの名を騙ってメールで送金指示を出し、実際に口座へと送金させる詐欺の手口のこと。攻撃者は事前に企業のメールを盗み見るなどして、本物と見間違うような巧妙なメール文で攻撃を仕掛けてくる。
■対策例
・送金指示の真正性を電話でも確認するなど、送金フローの見直し
・不審メールに気づくための従業員への教育
・BEC対策ソリューションの導入
■おすすめの解説記事
セキュリティ事故の傾向分析、海外と日本の明確な「違い」とは?|NRIセキュア調査
メールセキュリティ対策の全体像|企業が実施すべき7つのポイント
■概要
従業員や委託作業員などが不正に内部情報を持ち出し、第三者に販売したり悪用すること。
■対策例
・アクセス権限の見直し
・外部記憶媒体などの利用制限
・退職者のアカウントの削除
■おすすめの解説記事
内部不正対策はセキュリティの「最初の一歩」|効率的な対策のステップとは?
■概要
システム不具合や設定ミスによりサーバなどのインフラに障害が発生し、業務停止が余儀なくされること。
■対策例
・システムの冗長化
・IT-BCPの整備
・DDoS対策ソリューションの導入
■おすすめの解説記事
■概要
DXやテレワークの推進に伴い、企業の情報資産がクラウドなどのインターネット上のサービスに移るなか、クラウドサービスを提供する側と利用する側の責任分界点が曖昧であったり、ITを専門としない部門が直接インターネット上のサービスを契約するなどして、不正ログインの機会が増大している。
■対策例
・組織で利用しているクラウドサービスの把握と、定期的な監視
・クラウドサービスのセキュリティ設定の見直し
■おすすめの解説記事
ゼロトラストネットワークアクセス(ZTNA)とは? 「脱VPN」の最有力ソリューションを解説
CSPMとは?クラウドの設定ミス防止ソリューション|選定で失敗しない3つのポイント
■概要
メール誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意により意図せぬ相手に情報を漏えいしてしまうこと。
■対策例
・従業員への教育
・メール誤送信防止ソリューションの導入
■おすすめの解説記事
ヒューマンエラーによる情報漏えいを防ぐ!行動経済学をセキュリティへ応用
■概要
脆弱性情報の公開後、パッチ適用をしていない利用者を狙って脆弱性を突く攻撃を仕掛けること。
■対策例
・パッチ公開後の速やかな適用
・定常的な脆弱性管理
■おすすめの解説記事
【提案】EDRを活用した資産管理|”野良端末”の効率的な見つけ方
昨年に引き続き、個人編の1位は「スマホ決済の不正利用」でした。DXがますます一般的になるなか、数多くの企業がスマホ決済分野に参入していますが、消費者の利便性を追い求めるあまり、セキュリティ対策が疎かになっていないか、綿密な確認を行うことが重要だと言われています。
私自身もいち消費者として、利用中のサービスが多要素認証・多段階認証を提供している場合は面倒でも必ず活用する、自身の口座で心当たりのない取引が行われていないか定期的にチェックするなど、自衛のための対策を徹底していこうと身の引き締まる思いがしました。
■おすすめの解説記事
キャッシュレス決済、普及の鍵は「セキュリティ」|利便性と安全性の両立
毎年、どんな脅威がランクインするか注目が集まるIPAの「情報セキュリティ10大脅威」ですが、今回は2020年の世相が大いに反映された内容になっていました。本記事が、皆さまがセキュリティ対策を計画する際のヒントとして、少しでもお役に立てば幸いです。
なお、「情報セキュリティ10大脅威」各脅威の詳細な解説は2月中旬頃にIPAのサイトで公開予定です。
また、当社が実施した「企業における情報セキュリティ実態調査2020」のレポートは以下より無料でダウンロードできますので、併せてこちらもチェックしてみてください!