近年、サイバー攻撃はますます高度化、巧妙化しており、企業や個人にとって大きな脅威となっています。
情報漏えいやシステム停止などの被害は、事業継続や社会的信用に深刻な影響を与えかねません。
そこで本記事では、「情報セキュリティ10大脅威2024」から、最新のセキュリティリスクを確認したうえで、どのような対策を取れば脅威を防ぐことが出来るのかを、解説していきます。
独立行政法人情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」を公開しており、2024年版が1月24日にリリースされました。毎年、個人向け脅威と組織向け脅威に分けて、1位から10位までが発表されていましたが、今年から個人向けは、順位を付けずに発表されることとなりました。
これを見た多くの人が上位から対応し、下位になるほど優先度が下がってしまう、という反省によるものとのこと。
組織向けも同じですが、順位が上だと危険度が高く、下の方が危険度が低い、というわけではありません。人や企業、環境によって脅威となるレベルは異なるため、順位はあまり意味がないといえるかもしれません。
「情報セキュリティ10大脅威2024」組織向け脅威のトップ10は、以下のとおりです。
1. ランサムウェアによる被害
2. サプライチェーンの弱点を悪用した攻撃
3. 内部不正による情報漏えい等の被害
4. 標的型攻撃による機密情報の窃取
5. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6. 不注意による情報漏えい等の被害
7. 脆弱性対策情報の公開に伴う悪用増加
8. ビジネスメール詐欺による金銭被害
9. テレワーク等のニューノーマルな働き方を狙った攻撃
10. 犯罪のビジネス化(アンダーグラウンドサービス)
2023年と比べて、順位の変動はあったものの、すべての脅威が前年もランクインしており、新しく加わったものはありませんでした。また、過去4年間を調べてみても、ほとんどがずっとトップ10に入っているものばかりです。
とはいえ、危険度や重要度が低くなったわけでは決してありません。
東京商工リサーチの調査によると、2023年はウイルス感染や不正アクセスによる情報漏えい・紛失が過去最多だったとのことで、十分なセキュリティ対策は引き続き重要といえます。
参考:株式会社東京商工リサーチ_2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
「ランサムウェアによる被害」は、過去4年間ずっと1位となっており、組織や企業において重要度は変わらず高いということがいえるでしょう。
ランサムウェアとは、データを暗号化して人質にとり、金銭を要求するサイバー攻撃のことです。
近年、攻撃対象が広範囲に拡大し、中小企業や個人も標的になっています。日本のランサムウェアの被害も甚大で、警察庁の調べによると、令和5年(2023年)上期の被害件数は103件と、過去数年変わらず高い水準で推移しています。
サプライチェーンとは、製品やサービスの製造・販売に関わる企業間のネットワークのことで、顧客や仕入れ先、親会社・子会社といったグループ企業まで含めるのが一般的です。
大企業ほど十分にセキュリティ対策を行っており、簡単に侵入できないことが多いですが、サプライチェーンの中にはセキュリティ対策が手薄な企業もあり、そこを踏み台に侵入し、本丸の大企業を狙って攻撃を広げるのが特徴です。
内部不正による情報漏えいは、組織内部の人間による故意または過失によって引き起こされます。ここ数年は、テレワークの普及によるガバナンス低下の影響もあって、内部不正のリスクが高まっています。
また、最近では、再々委託企業の社員(業務委託社員)による、不注意による情報流出未遂といった事故もあったように、従業員へのセキュリティ教育や啓蒙が徹底できていないことも理由の一つでしょう。
毎年、トップ10内の順位の変動はあるものの、登場する脅威は変わらないため、取るべき情報セキュリティ対策の基本も目新しいことはありません。組織として基本の情報セキュリティ対策を、あらためて徹底することが重要といえるでしょう。
10大脅威2024に出てきた脅威には、さまざまな種類のものがありますが、防御のためにやるべき対策は従来から変わりません。PCやシステムの脆弱性を極小化し、従業員のセキュリティに対する意識を高めることがもっとも大切です。
そのための基本的なセキュリティ対策が、以下の5点となります。
・パスワード対策の徹底
・セキュリティ対策ソフトウェアの導入
・従業員教育の強化
・適切なバックアップの実施
・最新の脅威情報の収集
企業のシステム管理者はもちろん、全従業員が基本の対策を徹底することが重要となります。
パスワードは、情報セキュリティ対策の基礎であり、最も重要なポイントの一つです。不正アクセスや情報漏えいを防ぐため、適切なパスワード管理を心がけましょう。
・パスワードは複雑で推測困難なものにする
・パスワードを使い回さない
・パスワード管理ツールを活用する
・多要素認証を導入する
以前はパスワードの定期的な変更が推奨されていましたが、現在では、漏えいしたことがなければ変更せずそのまま使うほうが良い、とされています。社内でのパスワードポリシーを策定し、従業員に周知徹底しましょう。
なお、パスワードポリシーには、パスワードの長さ、文字種、変更頻度などを具体的に規定すべきです。
従業員が使用するPCなどのセキュリティ強化のため、EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)を導入することも必須といえます。
EPPはウイルスの感染を防ぐためのソフトウェア製品・サービスであり、EDRはPCにインストールされたソフトウェアの振る舞いを監視し、異常を検知・対応するためのソフトウェア製品・サービスのことです。
エンドポイントセキュリティ製品「EXOセキュリティ」には、
アンチマルウェア機能やランサムウェア防止機能が備わっています。
リアルタイムにマルウェア探査を行うことで、外部からの感染を防止しつつ、疑わしいプロセスがPC上で実行されていないか、異常の検知を行うことが可能です。
この対策を実施することで、サイバー攻撃のリスクを低減することができます。
また、IT管理者は、ファイアウォールや侵入検知システム(IDS)、侵入防御システム(IPS)などのセキュリティ対策ソフトウェアを導入することで、システムやデータを保護することができます。ソフトウェアは常に最新の状態にアップデートしておくことも重要です。
ミスや不注意によるセキュリティインシデントを防ぐためには、全従業員を対象としたセキュリティ教育が不可欠です。
たとえば以下の内容の教育を定期的に実施し、従業員全員のITリテラシーの向上を図り、最新の情報や知識を習得できるようにします。
・標的型攻撃への注意喚起
:フィッシングメールや不正な添付ファイルなど、標的型攻撃の手口を従業員に理解させ、注意喚起を行います。
・内部不正防止
:企業倫理や情報セキュリティに関する教育を行い、内部不正を未然に防ぐための意識を高めましょう。
・ソーシャルエンジニアリング対策
:手口や事例を共有したうえで、個々人のセキュリティ意識を高めることが重要です。
セキュリティ教育は、定期的に実施するのはもちろん、eラーニングを活用するなど受講しやすい環境作りも大切です。
ランサムウェアの被害などから迅速に復旧するには、バックアップの「3-2-1ルール」を理解しておくといいでしょう。
「3-2-1ルール」とは、2012年にアメリカのサイバーセキュリティー組織がルール化した方式で、以下のルールに基づいてデータのバックアップを行います。
・3つのコピー
データは少なくとも3つの異なる場所にコピーする。
これにより、1つの場所で損失が発生しても他の場所からデータを回復できる。
・2つの異なるメディア
データのコピーは異なるメディア(ハードディスク、クラウド、外部ドライブなど)に保存する。
これにより、あるメディアが損傷した場合でも別のメディアから復旧が可能となる。
・1つのコピーはオフサイトに
データのうち1つのコピーはオフサイト(社外やクラウド、テープなど)に保存する。
これにより、オフィス内での被害や災害に対応でき、データの安全性が向上する。
IT管理者が情報セキュリティ対策を徹底するためには、常に最新の脅威情報を収集し、自社のシステムや環境にどのようなリスクがあるのかを把握することが必要となります。具体的には、以下の方法で情報収集を心がけましょう。
・IPAの脆弱性対策情報(JVN)やセキュリティ情報をチェックする
・JPCERT/CCの注意喚起情報やセキュリティ関連情報をチェックする
・セキュリティ関連のニュース記事やブログを読む
・業界団体や専門家によるセミナーや講演に参加する
本記事では、「情報セキュリティ10大脅威2024」の最新セキュリティリスクを確認し、基本的なセキュリティ対策5点を紹介しました。
ただ、この5点はいずれも基本的な対策ばかりです。
すべてを実施したからといって、対策は万全というわけではありませんが、最低限の防御にはつながるはずです。自社の状況やリスクに応じて、その他の対策を追加で講じることも重要です。
この記事がChatGPTの脆弱性について知りたかった方のお役に立てれば幸いです。
