情報セキュリティ10大脅威とは?
現代の私たちを取り巻く環境において重要な役割を果たす「情報」は、気軽にインターネットにつながるようになった今だからこそ、正しく取り扱うことが求められています。
「情報セキュリティ」という言葉を聞いたことがあるかもしれません。一般的に情報セキュリティとは、「情報の機密性、完全性、可用性を確保すること」と定義されています。
- 「機密性」とは、ある「情報」へのアクセスを認められた人だけがアクセスできること
- 「完全性」とは、情報が破壊、改ざん又は消去されていない状態であること
- 「可用性」とは、情報へのアクセスを認められた人が、必要時に中断することなく情報にアクセスできる状態のこと
「情報の機密性、完全性、可用性」を確保することを総じて、情報セキュリティといいます。
そして情報セキュリティには、その保護体制にリスクを与える脅威があります。その脅威の具体的な内容は、情報処理推進機構(IPA)が「情報セキュリティ10大脅威」として毎年発表しています。
情報の取り扱い・保管について理解を深め、組織としての信用度を高めるには、常に「情報セキュリティ10大脅威」に目を向けておく必要があるといえるでしょう。10大脅威とは、つまり昨今トレンドとなっているセキュリティリスクを示しており、実際にその内容を見れば、現在最も気を付けるべき脅威やセキュリティ上の懸念点がわかります。
今回ご紹介するのは、その最新版である2022年版です。セキュリティインシデントとして取り沙汰されている事案は、世界的にさまざまなことが挙げられますが、10大脅威に含まれる脅威は特に注意を払うべき点をいえます。
2020年から始まったコロナ禍の影響を受け、ビジネス、プライベート問わずオンライン化の強化が一層進んだといえます。そのため2022年も、リモートワーク環境が影響して起こっているセキュリティリスクが、多く取り沙汰されている印象です。
2022年版の「情報セキュリティ10大脅威」では、「組織編」と「個人編」がランキングとして発表されています。次項からはそれぞれの脅威の詳細を見ていきます。
「情報セキュリティ10大脅威 2022」 組織編
「情報セキュリティ10大脅威 2022」の組織編から、ランキングを見ていきましょう。IPAの発表では、企業などの団体・組織においてよく取り沙汰されている脅威のランキングは次のとおりです。
| 順位 | 内容 | 昨年順位 |
| 1位 | ランサムウェアによる被害 | 1位(→) |
| 2位 | 標的型攻撃による機密情報の窃取 | 2位(→) |
| 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位(↑) |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位(↓) |
| 5位 | 内部不正による情報漏えい | 6位(↑) |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位(↑) |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
| 8位 | ビジネスメール詐欺による金銭被害 | 5位(↓) |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位(↓) |
| 10位 | 不注意による情報漏えい等の被害 | 9位(↓) |
引用元:情報セキュリティ10大脅威 2022|情報処理推進機構
「ランサムウェアによる被害」が2年連続1位に
まず注目したいのは、「ランサムウェアによる被害」が2021年と同様に1位になっている点です。ランサムウェアは、現代における代表的なサイバー空間の脅威といえます。ITにそこまで多くのリテラシーを持っていない人でも、ランサムウェアという言葉自体は聞いたことがあるでしょう。
ランサムウェアとは、身代金(=Ransom/ランサム)要求を目的としたコンピューターウイルスです。主に企業などの組織のシステムに侵入し、データベースの破壊や改ざんをすることで、解除のために莫大な身代金を要求してきます。
「標的型攻撃による機密情報の窃取」は2年連続2位
同じく2年連続で大きな脅威として取り沙汰されているのは、「標的型攻撃による機密情報の窃取」です。2年連続でランサムウェアに続く2位となっており、その巧妙な手口と被害の甚大さには十分な注意が必要です。
標的型攻撃とは、特定の組織や団体をターゲットにして行われる攻撃です。取引先を偽ってメールを送り、組織の重大な情報を聞き出したり、添付ファイルからマルウェア感染させたりするのがよくある手口です。
標的型攻撃は、なりすましの方法などが非常に巧妙なため、気を付けていたとしても騙されやすいのが厄介なポイントです。
「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」は新しくランクイン
あわせてよく目を光らせておきたいのは、2022年版になって初めて7位にランクインした、ゼロデイ攻撃と呼ばれる脅威です。
ゼロデイ攻撃とは、システムに発覚する脆弱性を素早く突いた攻撃です。時折、システムへの不正アクセスやプログラムの書き換え、データベースへの侵入などが容易に可能となってしまう脆弱性が発見されます。システム提供元はいち早く修正を行い、そのプログラムを公開しますが、ゼロデイ攻撃はこの脆弱性発覚からプログラムを公開日時までの間に行われるのが特徴です。攻撃者たちは、修正が施される前の期間を利用して、その脆弱性を突いた攻撃をするのです。
「情報セキュリティ10大脅威 2022」 個人編
続いて、「情報セキュリティ10大脅威 2022」におけるランキング個人編を見ていきましょう。2022年の個人のセキュリティリスクは次のようになっています。
| 順位 | 内容 | 昨年順位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位(↑) |
| 2位 | ネット上の誹謗・中傷・デマ | 3位(↑) |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 4位(→) |
| 4位 | クレジットカード情報の不正利用 | 5位(↑) |
| 5位 | スマホ決済の不正利用 | 1位(↓) |
| 6位 | 偽警告によるインターネット詐欺 | 8位(↑) |
| 7位 | 不正アプリによるスマートフォン利用者への被害 | 9位(↑) |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 7位(↓) |
| 9位 | インターネットバンキングの不正利用 | 6位(↓) |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 |
引用元:情報セキュリティ10大脅威 2022|情報処理推進機構
「フィッシングによる個人情報等の詐取」が1位に
昨年は2位だったフィッシングによる個人情報等の詐取が、2022年は1位にランクインしました。インターネット環境、スマートフォン利用が普及するにつれて被害も顕著になったフィッシングは、以前から注意すべき脅威として取り上げられています。
フィッシングは、企業や通販サイトになりすましたメールから偽造サイトに誘導し、個人情報を入力させることで行われるのが主な手口です。よく見るとメールやサイトのドメインは公式とは違うものになっていますが、見た目はほとんど公式と変わらないため、フィッシングがこれだけ話題を集めるようになった2022年でもその被害は後を絶ちません。
フィッシング対策協議会によれば、2021年のフィッシング報告件数は52万件以上にも及んだといいます。フィッシングサイトは、主に通販サイトや通信事業者、クレジットカード会社を模したものが多い傾向にあります。
2021と比べても変化が少ない傾向に
組織編では大きな順位変動がある一方で、個人編は昨年の順位とそこまで大きな変化はないといえます。新しくランクインした脅威も見られません。
唯一大きな変化があるとすれば、スマホ決済の不成利用が2021年は1位だったのに対して、2022年は5位に落ち着いている点です。2019年から2020年にかけて多くのスマホ決済が導入され、当時はリスクや脆弱性が多く指摘されていました。現在ではさまざまな対策がされたため、当時ほどのトレンド性はなくなったといえます。
とはいえ5位にランクインしているのは事実ですので、不正利用の被害が多く発生していることは変わりありません。他の脅威にもいえることですが、さまざまなサービスがネットを通じて利用できるようになった今、セキュリティリテラシーをもってサービスを活用することは必要不可欠です。
「情報セキュリティ10大脅威 2022」組織編の上位5位の解説と対策
ここからは、「情報セキュリティ10大脅威 2022」の組織編で上位5位にランクインしている脅威を、具体的な内容と対策をご紹介していきます。
1位:ランサムウェアによる被害
先ほども触れたとおり、ランサムウェアとはコンピューターウイルスの一種で、主に身代金要求を目的として感染させられるものになります。攻撃者は、組織のシステムなどをランサムウェアに感染させ、データ書き換えや暗号化したりして、その解除のための身代金を要求するのが特徴です。
警察庁の発表によれば、2021年の国内被害件数は報告されたものだけでも146件に及び、中小企業を筆頭に多くの組織が被害を受けています。その中でも手口を特定できたのは97件だったため、手口の巧妙化に備えて対策を強化していくことが、企業に求められているといえるでしょう。
少しでも怪しいメールやWebサイトは開かないなど、リテラシー向上を組織全体で図りつつ、データのバックアップは常日頃からまめに取っておきたいところです。昨年から連続で1位にランクインしている情報セキュリティの脅威のため、対策強化は欠かせません。
2位:標的型攻撃による機密情報の窃取
標的型攻撃は、企業などの組織をターゲットに定め、なりすましメールなどから機密情報を盗み出したり、顧客情報などをウイルスを通じて流出させる攻撃です。
標的型攻撃の経路になるのは主にメールです。そのため、メール開封や添付ファイル確認のリテラシーは組織全体で高める必要があります。少しでも怪しい文言のあるメールの場合、そのメールに貼ってあるリンクは開かないことなどが必要です。
また、添付ファイルにも十分注意が必要です。拡張子を確認する、差出人が不明確な場合はその添付ファイルを開かないようにする、などの対策を徹底する必要があります。
3位:サプライチェーンの弱点を悪用した攻撃
サプライチェーンの弱点を悪用した攻撃とは、原料の仕入れから消費者に製品を届けるまでの流れにおいて、その弱点を突くサイバー攻撃にあたります。
よくあるのは、セキュリティ対策が不十分な関連会社を発見し、攻撃者がその会社をサイバー攻撃のターゲットにするパターンです。原料の仕入れから最終的な購買に至るまでには多くの企業が関わるため、組織によってセキュリティ対策の水準に差があるのが難点です。この難点は現代における深刻な情報セキュリティ脅威となっています。
このようなサプライチェーンリスクに対しては、主にセキュリティ体制において信頼がおける取引先を見つけるよう徹底することが重要です。自社だけでなく、取引先との情報の確認におけるレギュレーションを共有が必要でしょう。
4位:テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク環境の普及を逆手に取り、ニューノーマルな働き方を狙ったサイバー攻撃も頻発するようになりました。リモートデスクトップへの不正侵入などが代表的です。
ニューノーマルな働き方は今後も広く浸透していき、さらに働きやすいかたちとなって変質していくことも考えられます。リモート環境でも、セキュリティ意識を高く持ったうえで業務にあたることが今後も求められていくでしょう。
5位:内部不正による情報漏洩
脅威は外部からの攻撃によるものだけではありません。内部不正による情報漏洩は、10大脅威の中でも5位にランクインしています。
例えば、情報端末を社外に持ち出し、顧客情報などが漏洩してしまうケースがあります。故意に名簿業者などに情報を売却したり、機密情報の正しい破棄手順を横着した結果、漏洩につながるパターンも珍しくありません。
「情報セキュリティ10大脅威 2022」全体に関わる対策
では、情報セキュリティ10大脅威にあるような大きなセキュリティリスクには、どのように備えて、どのように対策を徹底すれば良いのでしょうか。ここからは、すべての脅威に対して共通していえる基本的な対策をご紹介します。
ソフトウェアは最新の状態にしておく
使用するソフトウェアは、常に最新の状態にアップデートしておきましょう。ソフトウェアは、いつ脆弱性が発見されるかわかりません。万が一脆弱性が発覚した場合、その脆弱性が修正された最新バージョンを使用していなければ、サイバー攻撃の対象になる可能性が高まります。
脅威のトレンドは常に変化するため、各ソフトウェアも変化に対応すべくセキュリティを強化し、定期的にアップデートを行っています。最新版への更新が可能になったら、すぐに更新することを徹底していきましょう。このような対策は基本的なことですが、大事なこととして、今一度強い認識を持つことが重要です。
セキュリティの意識を組織的に高める
組織の一部の人間がセキュリティに関して意識が高いのでは、対策を徹底するうえで統率が取れません。セキュリティ水準も向上しないでしょう。そのため、セキュリティに対する意識改革は、組織的に進めていくべきです。
ITに関して詳しくない人材が多い企業は、徹底的にセキュリティ研修などを行い、全体で認識を深めることが重要となります。現代におけるサイバー攻撃の内容とその恐ろしさ、各個人ができる対策の基本を学べる研修が効果的です。
「情報セキュリティ10大脅威 2022」はMicrosoft Azureで保護しよう
多くのセキュリティインシデントが起こりうる現代のビジネス環境では、クラウドプラットフォームの運用にも当然ながら注意を払うべきといえるでしょう。ニューノーマルな働き方の中では、クラウドサービスこそ多くの場面で活用されるため、保護環境は整えていくべきです。
Microsoft Azureは、豊富な種類のコンプライアンス認証を持つのが特徴です。また、セキュリティ体制を高品質化するために必要な機能が組み込まれているため、Azureでシステムを運用すれば、自然と安全性の高い業務環境を用意できます。
一つひとつの脅威に対してさまざまな投資を行い、水準を高めるのは難しいです。そのため、セキュリティ体制の質を総合的に高めたいとなった場合、Microsoft Azureのように高いセキュリティ投資がなされているプラットフォームを利用してみるのも良いでしょう。
まとめ
情報セキュリティの体制強化を図るには、まず情報セキュリティ脅威を知ることが重要です。10大脅威から整理したうえで、それらの脅威に備えるにはどのような対策をすると良いかなどの理解を深めていきましょう。
ソフトウェアを最新にアップデートする・組織全体で意識を高めるなどの基本となる対策を実践したうえで、セキュリティ性能の高いサービスの導入も積極的に検討していきましょう。
