情報処理推進機構が提唱する「情報セキュリティ 10大脅威 2023」を押さえて、セキュリティ対策の足場を固めよう！

企業のセキュリティ担当者として、2022年に発生した情報セキュリティ事案を抑えておくことで社内のセキュリティ対策をどのような方向性で進めるかを考えることが可能です。

この記事では、IPAが発表した「情報セキュリティ 10大脅威 2023」を取り上げながら、概要と注意点、実際の順位と押さえるべき対策まで総合的に解説します。

「情報セキュリティ10大脅威 2023」とは

まずは「情報セキュリティ10大脅威 2023」とは何なのかを以下で解説します。

2022年に発生したセキュリティ事故攻撃の状況から脅威を選出する

2022年に発生したセキュリティ事故攻撃の状況からIPAが選出した脅威の候補から、情報セキュリティ分野の研究者、企業の実務担当者など総勢200名からなる「10大脅威選考会」による審議・投票によって、決定されます。

前年に発生した情報セキュリティ関係の事案から考察されるため、サイバー攻撃とはどのようなものかを知る上でも重要です。

各脅威が自組織にどう影響するか確認する

「情報セキュリティ10大脅威 2023」の観点としては、「各脅威が自組織にどう影響するか確認」することです。

現状トレンドとなっている脅威が何かを知ることができると、限られたセキュリティ対策費用をどこに使うか優先順位を決定できます。

膨大な数の脅威がある中でも、「トレンド」を知っておくことがセキュリティ事故を防ぐ上で大切です。

「情報セキュリティ10大脅威 2023」を読む上での注意点

「情報セキュリティ10大脅威 2023」を読む上で、以下の点だけ注意しましょう。

立場・状況が変わると順位も変わることを理解する

投票結果によって決定された順位ではありますが、「上位の脅威だけ対策する」「上位の脅威を優先して対策すれば良い」訳ではありません。「組織」が持つ特徴によって対策する優先度が大きく変わることを理解しましょう。

今回ランクインした脅威を押さえれば安心ではない

「情報セキュリティ10大脅威 2023」で新しくランクインした脅威もあるが、それに伴ってランク外になった脅威もあります。ランク外になったとしてもその脅威がなくなった訳ではありません。

今回ランク外となった「インターネットバンキングの不正利用」「予期せぬIT基盤の障害に伴う営業停止」なども依然として攻撃が行われており、IT基盤の障害に伴う長時間のサービス停止が発生しています。

各脅威に特化した対策よりも「情報セキュリティ対策の基本」が重要

各脅威に特化した対策を行う前に、「利用するソフトウェアのアップデート」「セキュリティソフトの導入」など基本的な対策が重要です。

基本的な対策が出来ていなければ、トレンドへの対応以前に、多種多様な脅威の被害に遭ってしまうことを頭に入れておきましょう。

「情報セキュリティ10大脅威 2023」における「組織」向け脅威の順位

以下、「情報セキュリティ10大脅威 2023」における「組織」向け脅威の順位を記載します。

1位：ランサムウェアによる被害

2位：サプライチェーンの弱点を悪用した攻撃

3位：標的型攻撃による機密情報の窃取

4位：内部不正による情報漏えい

5位：テレワーク等のニューノーマルな働き方を狙った攻撃

6位：修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

7位：ビジネスメール詐欺による金銭被害

8位：脆弱性対策情報の公開に伴う悪用増加

9位：不注意による情報漏えい等の被害

10位：犯罪のビジネス化(アンダーグラウンドサービス)

この中から、より注目すべき脅威を3つピックアップして紹介します。

犯罪のビジネス化(アンダーグラウンドサービス)

犯罪に使用するためのサービスやツール、IDやパスワードの情報等がアンダーグラウンド市場で取引され、これらを悪用した攻撃が増加しています。

攻撃に対する専門知識が無い方でもサービス・ツールを利用することで、容易に攻撃を行えるようになり、サービス・ツールの公開が被害を広げる恐れがあるのです。

被害例として、説明した「ツール・サービスを購入した攻撃」の他、アンダーグラウンドサービスで購入したID・パスワード等の認証情報を利用して、Webサービスに不正ログインする等があります。

テレワーク等のニューノーマルな働き方を狙った攻撃

2020年以降、新型コロナウイルス感染症(COVID-19)の世界的な蔓延に伴って、感染症対策の一環として

政府機関がニューノーマルな働き方の1つであるテレワークを推奨しています。働き方が大きく変化したことで、それらを狙った攻撃がトレンドとなりました。

例えば、VPN等のテレワーク用に導入している製品の脆弱性・設定ミスを悪用して、社内システムに不正アクセスする「テレワーク用製品の脆弱性の悪用」だったり、適切なセキュリティ対策が施されていない私有端末で企業ネットワークにアクセスすることで、業務情報・認証情報を窃取される事例も増加しています。

標的型攻撃による機密情報の窃取

標的型攻撃とは、特定の組織(官公庁・民間団体・企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としています。攻撃者は社会・働き方の変化に便乗して、状況に応じた巧みな攻撃手法で機密情報等を窃取しようとするのです。

主な攻撃手口として「メールのファイル添付やリンクの記載」「ウェブサイトの改ざん」「不正アクセス」などが挙げられます。

情報セキュリティで押さえるべき対策とは？

対策すべきトレンドを理解するのも大切ですが、基本に立ち返った対応も必要です。

この項目では「情報セキュリティ対策の基本」の中でも、押さえるべき対策をピックアップして紹介します。

パスワードを適切に運用する

個人・組織に関わらずパスワードの設定はオンラインショッピング・ネットワークカメラ(見守りカメラ)等の様々な場面で必要になります。安易な設定・不適切な扱いをすることで、攻撃者に不正ログインされやすくなってしまうのです。

「初期設定のままにしない」「パスワードを使い回さない」など基本に立ち返って、適切な運用を行う必要があります。

適切な報告/連絡/相談を行う

組織においてこまめに報告・連絡を行わないと被害の拡大に繋がるだけでなく「隠蔽した」と評価され、更なる信頼の失墜に繋がる恐れもあります。

組織に所属する全員がインシデント発生時の対応を十分に理解すること、経営者や上司、責任者は部下・担当者が包み隠さず躊躇なくエスカレーションできる風土・関係性を築くことも重要です。

適切なバックアップ運用を行う

データ破損の原因は記憶装置の故障・ランサムウェア等のサイバー攻撃による暗号化だけではなく、運用時の操作ミスによる消去や誤った更新と多岐に渡ります。

失ったデータの復旧は困難を極め、人手と時間を要するため、バックアップ運用はルールを決めて運用しましょう。

「情報セキュリティ」における脅威を押さえて、所属する企業で必要な対策を行おう！

この記事では、「情報セキュリティ 10大脅威 2023」を取り上げて、現在のトレンドの把握と必要なセキュリティ対策について紹介してきました。

その年によってクローズアップされる脅威はあるものの、企業のセキュリティを担当する方は「基本的なセキュリティ対策」を行った上でトレンドに対応しなくてはなりません。

まずは所属している企業内の「セキュリティ対策は適切であるか？」を振り返り、年々変化するトレンドに対応していくことが求められます。