1. 情報セキュリティ10大脅威 2023の概要
毎年、さまざまな組織や企業が脅威やニュースのランキングを公開している。情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威」は、2006年から毎年発行されており、企業などで広く活用することが推奨されているため目にした人も多いだろう。10大脅威は、IPAが前年に発生したセキュリティ事故や攻撃の状況などから候補を選出し、セキュリティ専門家や企業のシステム担当者などで構成される「10大脅威選考会」により決定される。
情報セキュリティ10大脅威 2023では、「個人向け」と「組織向け」の双方のランキングにおいて、1位から9位までが前年と同じ脅威という興味深い傾向が見られた。1位は「ランサムウェアによる被害」で3年連続となり、引き続き大きな脅威となっていることが分かる。2022年には複数の医療機関がランサムウェア攻撃に遭い、業務の停止を余儀なくされた。また、多重脅迫の被害も増加している。
2位は「サプライチェーンの弱点を悪用した攻撃」であり、前年の3位からランクアップした。サプライチェーン攻撃にはいくつかの種類があるが、特にビジネスサプライチェーン攻撃とソフトウェアサプライチェーン攻撃が目立った。前者は大手製造業の子会社がサイバー攻撃に遭ったことで、親会社が国内の全工場を停止した。後者では、サービスを提供している企業が不正アクセスにより複数のサービスが改ざんされ、情報漏えいにつながった。
3位は、「標的型攻撃による機密情報の窃取」であり、前年の2位から1ランク下がった。標的型攻撃は入念な準備と長い時間をかけて行われ、数年にわたり標的の企業に潜伏する。2022年は、標的型メールによるシンクタンクへの攻撃や、日本の政治団体を狙ったスピアフィッシングが確認されている。国家が背景に存在するサイバー攻撃グループによる非常に洗練された攻撃もあるため、潜伏している脅威をあぶり出す必要がある。
IPA「情報セキュリティ10大脅威 2023」
転載元:IPA「情報セキュリティ10大脅威 2023」
目次へ戻る
2. JNSA 2022セキュリティ十大ニュースの概要
ネットワークセキュリティに携わる組織が結集して設立された特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)では、2022年12月に「JNSA 2022セキュリティ十大ニュース」を発表した。こちらは2022年に報道されたニュースから、同協会の選定委員が選定したものとなっている。
1位は、2月24日の「ロシアがウクライナへ軍事侵攻」となった。現実での戦争であるが、侵攻に先立ちロシアはウクライナに大規模なサイバー攻撃を行っており、まさに「弾が飛んでくる前にサイバー攻撃がある」の言葉通りとなった。しかし、従前からしばしばロシアからのサイバー攻撃を受けているウクライナは十分な準備をしていたため、侵攻に先立つサイバー攻撃の影響はほとんどなかったようだ。
今回の軍事侵攻については、ニュースメディア、ブログ、SNSなどを活用した「自軍への支持」を得るための双方の戦いの側面もクローズアップされている。ディープフェイクによる動画などが目立っていることも特徴的だ。侵攻から一年を経て、ロシア対西側諸国の図式が鮮明になっており、日本にも多くのサイバー攻撃が行われている。その延長線上で、日本も物理的な戦争に巻き込まれる可能性があることを忘れてはならない。
2位には、3月1日の「取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止」が選ばれている。これは、トヨタ自動車株式会社が国内仕入れ先(小島プレス工業株式会社)におけるシステム障害の影響を受け、国内全14工場28ラインの稼働を停止したというもので、IPA10大脅威の1位と2位に該当するといえる。膨大な数の中小企業が複雑なサプライチェーンを構成する日本においては、憂慮すべきサイバー攻撃といえるだろう。
3位には、6月23日の「全市民46万人余の個人情報入ったUSBを紛失 尼崎市が発表」がランクインした。給付金に関する業務を委託していた業者が、市の許可を得ずUSBメモリーで個人情報を持ち運び、大阪吹田市にあるコールセンターでのデータ移管作業を行った。そして終了後に飲食店で酒を飲み、データを消去しないままのUSBメモリーを入れたカバンを紛失した。「委託先からの漏えい」は、一向に減らないことも現実である。
JNSA 2022セキュリティ十大ニュース
転載元:JNSA「JNSA 2022セキュリティ十大ニュース」
目次へ戻る
3. 2023年 情報セキュリティ十大トレンドの概要
特定非営利活動法人 日本セキュリティ監査協会(JASA)は、監査企業や監査人、一般企業や団体などの内部監査実施部門等により、公正な情報セキュリティ監査の確立と普及・浸透を目的に設立された。「2023年 情報セキュリティ十大トレンド」は、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用することを目的としているため、このランキングは2023年の予測となっている。
1位に選ばれたのは、前回14位だった「大規模社会インフラシステム障害により増大するサイバーリスク」である。日本では重要インフラ分野として、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油の14分野が指定されている。これらの分野の多くは制御システムによって動作するが、今やすべてのインフラは情報システムとは無縁ではなく、障害が広域に及ぶ可能性がある。
2位は前回3位の「ITサプライチェーンの統制強化」となった。サプライチェーンを狙う攻撃はすでに紹介しているが、2023年も引き続き標的にされると考えられる。そのリスクの高さから、自社だけでなくサプライチェーンに属するすべての企業を含めたセキュリティ対策を強化していく必要性の認識が広まり、技術的な観点、ルールの徹底や教育ならびに自動化を意識した管理・監督が加速するだろう。
3位には、前回12位だった「サイバーランサムによってあぶりだされる『怠け者システム管理者』や『ダメ経営者』」がランクインした。多くのサイバー攻撃は、当たり前のセキュリティ確保により防ぐことができる。それなのに攻撃を受けて被害が発生した組織は、システム管理者が脅威を認識する手順を定めていない、運用を怠っていた、経営者がシステムのセキュア運用に理解がなく適切なサポートを契約しなかった、適切なリソースを承認していなかった、などが考えられる。
このランキングは監査員により選出されたものであるため、2023年に監査員が企業に対して監査を行う際のポイントも記載されている。企業はこれらのポイントを参照してセキュリティ対策を強化していくことで、監査を効率的に進められる可能性もある。
2023年 情報セキュリティ十大トレンド
転載元:JASA「2023年 情報セキュリティ十大トレンド」
目次へ戻る
4. 2023年に求められるセキュリティ対策
今回は複数の組織によるランキングを紹介した。サイバー攻撃については、まったく新しい攻撃手法は登場していない。いずれも過去から存在する攻撃手法がベースとなっている。物理的な戦争についても、世界では数カ所で戦争行為を伴う紛争が継続している。このため、企業は基本的なセキュリティ対策を万全にすることが最低限の対策といえる。
基本的なセキュリティ対策として、IPAでは「ソフトウェアの更新」「セキュリティ対策ソフトの利用」「パスワードの管理・認証の強化」「設定の見直し」「脅威・手口を知る」の五つを挙げている。脆弱性の悪用やマルウェア、ソーシャルエンジニアリングなどの「攻撃の糸口」は古くから大きく変化していないため、これらの対策を実施することで効果が期待できるからだ。
「ソフトウェアの更新」は、ソフトウェアの脆弱性を糸口とする攻撃に対応するもので、脆弱性を解消し攻撃を受けるリスクを低減することを目的とする。「セキュリティ対策ソフトの利用」は、マルウェア感染を糸口とする攻撃に対応するもので、攻撃のブロックを目的とする。
「パスワードの管理・認証の強化」は、パスワードの窃取を糸口とする攻撃に対応するもので、そのリスクの低減を目的とする。「設定の見直し」は、設定の不備を糸口とする攻撃に対応するもので、誤った設定を攻撃に利用されないことを目的とする。「脅威・手口を知る」は、主にワナにはめようとする誘導を糸口とする攻撃に対応するもので、手口から重視すべき対策を理解することを目的とする。
IPAではこの基本に加え、クラウドサービスの利用を考慮した「情報セキュリティ対策の基本+α」も公開している。こちらでは、インシデント全般に対する「責任範囲の明確化(理解)」、クラウドの停止に対する「代替案の準備」、クラウドの仕様変更に対する「設定の見直し」を挙げている。さらに、複数の脅威に有効な共通対策集として七つのポイントも挙げている。これらの対策を自社に照らし、不足と思われる部分をまず強化していくことから始めると良いだろう。
複数の脅威に有効な対策集(IPA)
転載元:IPA「情報セキュリティ10大脅威 2023」
目次へ戻る
