「情報セキュリティ10大脅威2023」公開。リスクと対策を解説
独立行政法人情報処理推進機構(IPA)はこのほど、「情報セキュリティ10大脅威2023」を発表しました。サイバーセキュリティ対策の第一歩は、情報収集を行い、最新のリスクを知ることです。リモートワークが普及し情報管理の重要性が叫ばれる中、企業はどのような対策を行うべきなのでしょうか。そこで今回は、「情報セキュリティ10大脅威2023」の組織編を解説し、主な対策について考えていきます。
※参考:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威2023」
情報セキュリティ10大脅威~組織編~
「情報セキュリティ10大脅威」とは、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーから構成される「10大脅威選考会」において、その年に社会的影響が大きかったと考えられる情報セキュリティ事案を審議・投票し、順位付けしたものです。「情報セキュリティ10大脅威2023」は2022年に発生し、社会的に影響の大きかったものを対象としています。
情報セキュリティ10大脅威には、個人編と組織編があり、今回は組織編の上位10位をご紹介します。なお、()内は前年の順位です。
10位 犯罪のビジネス化(アンダーグラウンドサービス)(圏外)
5年ぶりのランクインとなった犯罪のビジネス化。従来、サイバー攻撃は個人が自己顕示目的で行っていましたが、昨今では開発された攻撃ツールや犯罪システムがアンダーグラウンドで商品として売買され、犯罪がビジネスへと変化しています。こうしたツールを利用することで専門知識が無い人でも容易に攻撃を行えるため、攻撃の拡大が懸念されています。
<対策例>
- ・組織内におけるインシデント体制の整備
- ・機器の脆弱性を解消する(「サポート切れのOSやシステムを使用しない」等) など
9位 不注意による情報漏えい等の被害(10位)
残念ながら、人的ミスによる情報漏えい事故は依然として後を絶ちません。メールの誤送信や重要資料の置き忘れ、情報端末(USBやスマートフォン等)の紛失など、不注意が重大事故につながることから、見逃すことのできない脅威です。
<対策例>
- ・組織内のプロセス及び体制の見直し(「特定の担当者へ業務を集中させない」等)
- ・情報の保護を徹底する(「外部に持ち出す端末を制限する」「DLP製品を導入する」等) など
8位 脆弱性対策情報の公開に伴う悪用増加(6位)
本来、脆弱性対策情報とは利用者へ脆弱性の脅威や対策情報について伝えるためのものですが、これを悪用して対策をしていない利用者を狙うといった攻撃が相次いでいます。
<対策例>
- ・製品セキュリティを常に最新の状態に維持する
- ・脆弱性関連情報の収集を行う など
7位 ビジネスメール詐欺による金銭被害(8位)
ビジネスメール詐欺は通称「Business E-mail Compromise:BEC」と呼ばれ、悪意のある第三者が関係者になりすまして巧妙な偽装メールを送り、金銭をだまし取るサイバー攻撃です。組織間の取引を狙うため、被害額も大きくなる傾向にあります。
<対策例>
- ・業務フローの徹底(「メールを受信したら真偽を確認する」「金銭を扱う処理は個人の判断で完結しないようにする」等)
- ・メールセキュリティソフトを導入する など
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(7位)
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性に対する修正プログラム(パッチ)が公表される前に、その脆弱性を狙って行われる攻撃のことを言います。この攻撃を事前に防ぐことは難しいため、被害を最小限に留めるための対策を講じる必要があります。
<対策例>
- ・システムを常に最新バージョンにアップデートする
- ・セキュリティ対策ソフトやアプリケーションを導入する(ファイアウォールやサンドボックス等) など
5位 テレワーク等のニューノーマルな働き方を狙った攻撃(4位)
テレワークの普及により、ウェブ会議サービスやVPN等が活用される中、それらを狙った攻撃が増えています。具体的には、私有端末(パソコンやスマートフォン)や自宅のネットワークといった脆弱性の高い業務環境を通じて、社内環境への不正アクセスやウイルス感染が狙われています。
<対策例>
- ・メンバーの情報セキュリティ教育を徹底する(「テレワークで使用するパソコン等は他人と共有しない」「公衆Wi-Fiを使用しない」等)
- ・CSIRT(サイバー攻撃やセキュリティ事故が発生した際のインシデント対応を担う専門チーム)を構築する など
4位 内部不正による情報漏えい(5位)
組織の従業員や元従業員、関係者による機密情報の持ち出しやそれを悪用するといった内部不正も、見逃せない脅威の一つです。内部不正による情報漏えいは組織の社会的信用を失墜させるだけでなく、莫大な損害賠償に発展する可能性があります。
<対策例>
- ・資産管理を行い、情報セキュリティポリシーを策定する
- ・メンバーのコンプライアンス教育を徹底する(「容易に情報を拡散しない」等) など
3位 標的型攻撃による機密情報の窃取(2位)
標的型攻撃は10大脅威の中でも常に上位に入っている深刻な脅威です。攻撃者は特定の組織(官公庁、民間団体、企業等)を狙い、メール内の不正URLをクリックさせたり、ウイルスを添付したりして機密情報を窃取します。
<対策例>
- ・業務フローを確認または再構築する(「アプリケーション許可リストを整備する」等)
- ・メンバーのセキュリティ意識を向上する(「不明なアドレスにはアクセスしない」「訓練を行う」等)など
2位 サプライチェーンの弱点を悪用した攻撃(3位)
サプライチェーン(原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる一環の流れ)の脆弱性を狙った攻撃は4年連続「10大脅威」にランクイン。攻撃を受けると関連する取引先企業にも影響を及ぼすため、特に注意が必要です。
<対策例>
- ・信頼できる業務委託先を選定する(情報管理規則を交えた契約書を締結し、定期的に監査を行う)
- ・流通時に利用するシステムの把握と管理を行う など
1位 ランサムウェアによる被害(1位)
2020年から3年連続で1位となったランサムウェアによる被害。発生件数も年々増加傾向にあり、警鐘が鳴らされています。ランサムウェアとは、パソコンやスマートフォンを感染させてファイルの暗号化や画面をロックさせる攻撃で、解除・復旧のために代償金が要求されるケースもあります。中でも、VPNの脆弱性を悪用した攻撃が多く見られています。
<対策例>
- ・セキュリティ機能の提供(「多要素認証の設定を有効にする」「サーバーへのアクセス権限を最小限に設定する」等)
- ・メンバーのネットリテラシー教育を徹底する(「不審なURLを安易にクリックしない」等) など
新たな脅威に対応するために
以前ご紹介した2020年版と比較すると、「情報セキュリティ10大脅威2023」では、「犯罪のビジネス化」や「テレワーク等のニューノーマルな働き方を狙った攻撃」といった新たな脅威がランクインとなりました。時代や働き方の変化とともに変化を続ける脅威に対して、企業は定期的なセキュリティの見直しを行う必要があるでしょう。
また、実際には上記でご紹介した脅威の他にも、多くの脅威が存在することは言うまでもありません。しかし、それらすべてに対策を講じることは容易ではないでしょう。
企業としてどのような方針で進めていくか判断に悩む場合は、情報セキュリティ支援サービスを利用してみることも一案です。最新の情報と迅速な実行体制を構築し、最善の方法を選択していきましょう。
