「情報セキュリティ10大脅威2020」が公開!今知っておくべき脅威と対策を解説

今回は独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」についてご紹介します。「情報セキュリティ10大脅威」とは、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーが集まる「10大脅威選考会」がその年に社会的影響が大きかったと考えられる情報セキュリティ事案を審議・投票し、順位付けしたものです。「情報セキュリティ10大脅威2020」は2019年に影響の大きかったものを対象としています。

パソコンやスマートフォンは広く普及し、公私問わず生活する上で必要不可欠な存在となりました。それに伴い、ひと昔前では考えられなかった新たなトラブルや犯罪が発生しています。安全に上手く使いこなしていくためには、ユーザーがメリットとリスクを十分に理解しておかなければなりません。「情報セキュリティ10大脅威」には個人向けと企業向け(組織編)の2種類がありますが、今回は企業向けの順位を10位から解説し、代表的な対策を考えてみたいと思います。

本記事は、独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威2020」をもとに作成しています。詳細と資料は独立行政法人情報処理推進機構(IPA)公式ウェブサイト内のこちらをご確認ください。

1. 情報セキュリティ10大脅威~組織編~

10位 サービス妨害攻撃によるサービスの停止

ターゲットのサーバーに大量のアクセスを仕掛けることで高負荷状態にさせ、サービスを遅延させたり利用できない状況に追い込んだりする DDoS (分散型サービス妨害)が相次いでいます。攻撃の中止と引き換えに代償金を要求されるケースも。

<対策>

  • ・セキュリティ対策ソフトやアプリケーションを導入する
  • ・攻撃された場合の代替サーバーを用意する など

9位 IoT機器の不正利用

インターネットを通じて機械を操作するIoT(Internet of Things:モノのインターネット)をウイルスに感染させて、ネットワークやサーバーに悪影響を与えるDDoS(分散型サービス妨害)がここでもランクインしました。企業ではこうした機器へのリスクも考慮して情報セキュリティ対策をおこなわなければなりません。

<対策>

  • ・機器の脆弱性の解消(セキュリティプログラムの導入等)
  • ・ユーザーへの適切な呼びかけ(分かりやすい操作方法や管理方法を作成する等)など

8位 インターネット上のサービスからの個人情報の窃取

インターネット上のサービスの脆弱性等を悪用した不正アクセスやログインがおこなわれ、ユーザーの個人情報等が窃取されるケースです。特にショッピングサイト(ECサイト)などで独自のサービスやアプリケーションを構築している場合に注意が必要です。

<対策>

  • ・セキュリティシステムの導入と定期的な確認をおこなう
  • ・ユーザーへのセキュリティ機能の提供(二段階認証を設定する等)など

7位 不注意による情報漏えい(規則は遵守)

組織の情報セキュリティ対策がしっかり策定されていても、従業員のうっかりミスで情報が漏えいしてしまうという事例が跡を絶ちません。具体的にはメールの誤送信や重要資料の置き忘れ、情報端末(USBやスマートフォン等)の紛失など。漏えい後に二次被害の恐れがあり、見逃すことのできない脅威です。

<対策>

  • ・メンバーの情報セキュリティ教育を徹底する(「どんなに小さい情報でも社外へ持ち出さない」など)
  • ・情報の保護を徹底する(メールやファイルの暗号化、パスワード設定等)など

6位 予期せぬIT基盤の障害に伴う業務停止

ネットワークやデータセンター設備等のIT基盤に障害が発生し、長時間にわたりサービスを利用できなくなるケース。ネットを使った作業ができないだけでなく、ショッピングサイト(ECサイト)を持つ事業では売上にも大きく影響します。昨年は16位でしたが、台風や地震等の災害で多大な影響を受けた企業が多かったことから順位が急上昇。クラウド化を推進している企業は特に注意が必要です。

<対策>

・BCPを策定する(BCPとは企業が自然災害、テロ攻撃などの緊急事態に遭遇した場合に、損害を最小限に抑えながら事業の継続あるいは早期復旧を実現するために取り組むべき行動や指針をまとめた事業継続計画のこと)など

5位 ランサムウェアによる被害

ランサムウェアとは、パソコンやスマートフォンを感染させてファイルの暗号化や画面をロックさせる攻撃のことです。それを解除するための代償金を要求されることも。感染経路はメールや不正サイト、ソフトウェアなど複雑化しており、特定が難しいとされています。

<対策>

  • ・CSIRT(サイバー攻撃やセキュリティ事故が発生した際のインシデント対応を担う専門チーム)を構築する
  • ・メンバーのネットリテラシー教育を徹底する(「不明なアドレスにはアクセスしない」等)など

4位 サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる組織のことを指し、一部の業務を外部組織に委託している場合もその一環となります。適切にセキュリティ対策できていない業務委託先が狙われ、個人情報が漏えいする事例が発生しています。

<対策>

  • ・信頼できる業務委託先の選定(セキュリティ認証マークのある企業を選定する、契約書を策定する等)
  • ・業務委託先の状況を管理できる仕組みを作る(作業内容とあわせてセキュリティもチェックが必要) など

3位 ビジネスメール詐欺による金銭被害

ビジネスメール詐欺は、関係者になりすまして偽メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口です。攻撃者は役職者や権限を持つ社外の第三者になりすましたり、組織メンバーのアカウントを直接乗っ取ったりするなど、相手が気づかないほど巧妙な手口を使います。

<対策>

  • ・業務フローを確認または再構築する(個人の判断で、取引や入金ができないルールにする等)
  • ・請求書関係のメールに電子署名(S/MIME)を導入する(電子証明書を用いてメールを暗号化することが可能) など

2位 内部不正による情報漏えい

組織の従業員や元従業員、組織関係者による機密情報の持ち出しやそれを悪用する不正行為が多発しています。組織の重要な情報を持ち出し、さらに紛失し情報漏えいにつながるケースも。内部不正による情報漏えいは組織の社会的信用を失墜させ、莫大な損失となる脅威です。

<対策>

  • ・物理的アクセスを管理する(重要な部屋の入退室を制限する等)
  • ・情報資産の整理をおこない、管理する(情報資産を扱う管理者を決める、情報へのアクセスを制限する、メンバーの操作履歴を管理する等)など

1位 標的型攻撃による機密情報の窃取

特定の企業・団体等の機密情報等を窃取することを目的とした標的型攻撃は、2019版に続き1位となりました。攻撃者はメールに不正URLを記載してクリックさせたり、ウイルスを添付したりして機密情報を窃取します。

<対策>

  • ・情報セキュリティポリシーを策定する
  • ・従業員のネットリテラシー教育を徹底する(「不明なアドレスにはアクセスしない」等)など

セキュリティの見直しは定期的に

2020にランクインした「情報セキュリティ10大脅威」をご紹介しました。ではこれからこの10個すべてにおいて対策をしていけばいいかというと、そうではありません。

ランク外に落ちてしまった過去の脅威もなくなった訳ではなく、影響力は小さくとも継続しています。社員への情報教育の提供や企業としてのISMS取得は、包括的な対策となるでしょう。下記のような情報セキュリティコンサルティングに構築支援を仰ぐことも一つの方法です

情報セキュリティ教育

情報セキュリティコンサルティングサービス

情報漏えいリスク対策サービス

企業を安全に守るために、今一度自社の情報セキュリティを振り返ってみてはいかがでしょうか。

【参照】情報セキュリティ10大脅威 2020 (独立行政法人情報処理推進機構(IPA))