情報化社会への取り組みが進む中で、各企業の業務効率は上がり、ますます便利になってきているのは間違いありません。しかし、かつては紙ベースでやり取りされていた情報がインターネット上で扱われるようになったことにより、新たな危険が増えてきているのも事実です。
そこで、ここでは「情報セキュリティ10大脅威2021」と、それに対して企業がとるべき対策について紹介していきたいと思います。
IPAが提供する「情報セキュリティ10大脅威」とは何か
「情報セキュリティ10大脅威」とは、その年度の前年に発生したインシデントなどの事案のうち、特に社会的な影響が大きかったもののことです。
まずはIPA(情報処理推進機構)が候補となる脅威を選出し、その後情報セキュリティ分野の研究者や専門家、企業の実務担当者などからなる「10大脅威選考会」のメンバーによって審議・投票が行われ、最終的な「10大脅威」が決定されます。
毎年サイバーセキュリティ月間である2月1日~3月中旬に合わせて、結果が公開されるようになっています。
サイバーセキュリティ対策を正しく確実に行っていくためには、現在どういったことが脅威となっているのかを知った上で、それぞれの脅威への対策を検討していくことが重要です。
情報セキュリティ10大脅威は、その対策・検討をしていく上で、有益な情報として扱われているのです。
情報セキュリティ10大脅威 2021【組織】の順位一覧
では、ここでは情報セキュリティ10大脅威2021の順位について紹介していきます。
この10大脅威の順位は、投票結果により重要度が高いものが上位の順位とされています。
しかし、この順位がどの企業にとっても優先度に直結するというものではありません。そのため、自社の環境を考慮して対策の優先度を設定し、適切な対応をとる必要があります。
1位:ランサムウェアによる被害(昨年順位5位)
ウイルスの一種であるランサムウェアをパソコンに感染させられ、パソコンに保存されているファイルやデータが暗号化されてしまうものです。
攻撃者は、暗号化解除や復旧をする代わりに金銭や情報などを要求してきます。
2位:標的型攻撃による機密情報の窃取(昨年順位1位)
標的型メールに代表される攻撃で、特定の組織を狙ってメールに添付したファイルを開かせるように誘導したり、悪意のあるサイトにアクセスさせたりすることで、ウイルスに感染させるというものです。
3位:テレワーク等のニューノーマルな働き方を狙った攻撃(昨年順位圏外)
コロナ禍により一気に普及したテレワークの際の「自宅からオフィスへの接続」「Web会議サービスの利用」「私物のPCや自宅のインターネット環境の業務利用」「初めて使うリモートアクセス環境」といった脆弱性の高いものを集中的に狙う攻撃です。
危機管理の低い従業員やパソコン初心者が狙われる可能性が高いものでもあります。
4位:サプライチェーンの弱点を悪用した攻撃(昨年順位4位)
系列企業やビジネスパートナーを含めたサプライチェーン全体の中で、情報セキュリティが弱い部分を狙い、その被害をサプライチェーン全体に拡大させる攻撃のことです。
子会社や取引先が多い大企業などが狙われやすいと言えます。
5位:ビジネスメール詐欺による金銭被害(昨年順位3位)
攻撃者がその企業の経営者や管理職などの名前をかたって従業員に送金指示を出す攻撃です。
実際の口座に会社のお金を送金させる詐欺であり、攻撃者はその会社で使われているメールの形式などを巧妙に真似てメールを送ってきます。
6位:内部不正による情報漏えい(昨年順位2位)
従業員や委託作業員などが不正に内部情報を持ち出し、第三者に販売したり悪用したりすることを指します。
現職者だけではなく、退職者が行うことも可能なため注意が必要です。
7位:予期せぬIT基盤の障害に伴う業務停止(昨年順位6位)
企業で使用しているシステムの不具合や設定ミスにより、サーバーのインフラに障害が発生し、業務停止が余儀なくされることです。
急激にインフラを拡大させた会社でよく起こっています。
8位:インターネット上のサービスへの不正ログイン(昨年順位16位)
テレワークの増加、社内IT化を進める上で、会社の情報・データをクラウドなどインターネット上で保存するようになった際に、担当部署以外がクラウドにアクセスしてデータを引き出したり、契約をしてしまったりすることが増加しています。
9位:不注意による情報漏えい等の被害(昨年順位7位)
情報化が進み、IT知識をあまり持っていない従業員も操作することが増えました。その結果、メールの誤送信やクラウドサービスへの誤ったアップロードなどのアクシデントも増加してしまい、情報を漏えいの危険性が増大しているのです。
10位:脆弱性対策情報の公開に伴う悪用増加(昨年順位14位)
脆弱性情報の公開後、最新のパッチを適用していない利用者を狙って、まだ残る脆弱性を突く攻撃を仕掛けることです。
セキュリティ情報をよく確認し、自社で取り扱うデバイス・ソフトを常に最新のものに保つ必要があります。
「情報セキュリティ10大脅威 2021」の特徴
ここでは情報セキュリティ10大脅威 2021の中でも特に注意が必要な「ランサムウェアによる被害」と「テレワーク等のニューノーマルな働き方を狙った攻撃」について紹介していきます。
1位「ランサムウェアによる被害」について
昨年順位5位から一気に1位になったことからもわかるように、ランサムウェアによる被害は10大脅威の中でも特に注目されている脅威だと言えます。
ランサムウェアとは、パソコン、サーバー、スマートフォンなどに感染するウイルスの一種です。
ウイルスに感染することで、保存されているデータの一部が暗号化されて利用できなくなってしまったり、画面がロックされて操作不可能になったりします。
ランサムウェアによって攻撃してきた者は、その暗号を解除したり、元の状態に復旧したりするために、金銭を要求してきます。
そのため「ランサム(身代金)」という名前がつけられているのです。
近年では、攻撃者がデータをあらかじめ抜きとっておき、その後暗号化してしまうというケースや、抜きとったデータの一部を公開して金銭を要求し、「支払わなければデータのすべてを公開する」と脅迫してくるといったケースもあります。
2020年には大手ゲームメーカーのカプコンや、中堅ゼネコンの鉄建建設がこの被害にあったことを公表しています。この攻撃に対して、両社とも身代金の支払い要求には応じていません。金銭を支払ったとしても暗号化されたデータが復元される確証がないことに加えて、支払った金銭が犯罪者に利益となることを考えて、支払わないという選択をしています。
3位「テレワーク等のニューノーマルな働き方を狙った攻撃」について
新型コロナウイルス感染症の蔓延に伴って急速に進んだ、在宅勤務やテレワーク、サテライトオフィス利用などのニューノーマルな働き方に対するサイバー脅威全般が増加しています。
2020年8月には「ZDNet」が攻撃を受け、900件を超えるSSL-VPN製品(Pulse Secure)のIPアドレスやバージョン、認証情報(ユーザ名、パスワード)などのリストが公開されてしまうという事案が発生しました。
この事案の起因となった脆弱性については、2019年4月には脆弱性情報がPulse Secureより公開されていました。
しかし、当該の脆弱性を修正するためのパッチを適用していない製品環境が多数残存していたことが原因となって、問題が発生するに至ったと推測されています。
また、在宅勤務、テレワークについては、名古屋地区で事案が起こっています。
従業員が在宅勤務のために会社のパソコンを持ち出して在宅勤務で使用していました。
その際、セキュリティが確保された社内ネットワークを経由することなく外部のネットワークに接続したことでウイルスに感染し、その後感染したパソコンを会社に持ち込んで社内ネットワークに接続した際、社内全体にウイルスが広まることとなりました。ネットワーク経由でウイルス感染が広がったという事案です。
このように、在宅勤務のパソコンや自宅でのインターネットを狙うという攻撃も増加しています。
情報セキュリティ10大脅威への対策
ここでは情報セキュリティ10大脅威への対策について順に紹介していきます。
ランサムウェアによる被害
ランサムウェアによる被害を防ぐためには、基本的な対策がもっとも重要だと言われています。
これは、ソフトウェアの更新やセキュリティソフトの利用、パスワードの管理・認証の強化、こまめな設定の見直しといったことが当てはまります。
また、バックアップの取得、定期的な復旧テストの実施も効果的です。
標的型攻撃による機密情報の窃取
悪意あるサイトなどをアクセスすることで起こることが多い事案のため、従業員一人ひとりのセキュリティリテラシーを高める研修を行うことが効果的です。
また、不審なメールなどを的確に報告できるようなシステムを構築するのもよいでしょう。
テレワーク等のニューノーマルな働き方を狙った攻撃
テレワークの規定や運用ルール、遵守事項などの整備や徹底を行うことが重要です。セキュリティ教育を実施することで、従業員のセキュリティ対策への意識を高めることが最優先の課題となるでしょう。
特にIT知識が弱い人に起こりやすい事案ですので、研修を徹底していきましょう。
サプライチェーンの弱点を悪用した攻撃の高まり
サプライチェーン全体のセキュリティ対策状況の把握を行い、弱い部分は早めに強化することが重要です。また、自社だけでなく、系列企業や取引先にもしっかりとセキュリティ対策を行ってもらう必要があります。
ビジネスメール詐欺による金銭被害
送金指示に関してはダブルチェックを行うことで、確実な遂行を徹底することが重要です。
手順があいまいな送金フローがなされている場合は見直しを行いましょう。
内部不正による情報漏えい
誰でも自由に重要なデータにアクセスできないように、アクセス権限を見直すことが重要です。
また、退職者のアカウントは削除することや、外部の記憶媒体の利用制限を行うことも効果があります。
予期せぬIT基盤の障害に伴う業務停止
システム障害が起こった際の対応マニュアルを普段から徹底しておくことが効果的でしょう。
誰が対応をするのか、どう復旧させるのかということを周知しておくことで、パニックになることを防げます。
インターネット上のサービスへの不正ログイン
利用しているクラウドサービスのセキュリティ設定をしっかりと行うことや、どのように運営がされているかの把握と定期的な監視を行うことが重要です。
不注意による情報漏えい等の被害
パソコンやインターネットに関する継続的な研修を行うことや、メール誤送信防止ソリューションの導入などが対策として考えられます。
脆弱性対策情報の公開に伴う悪用増加
脆弱性が発見された後、パッチが公開されれば速やかな適用を行うことを徹底しましょう。また、定期的にシステムの脆弱性を管理しておく必要もあります。
まとめ
情報セキュリティは、今や企業の運営において欠かせないものとなっています。
企業の情報セキュリティを守る活動を行っている「MOTEX」では、さまざまなセキュリティサービスを行っています。
情報セキュリティについて悩んでいる企業は利用を検討するとよいでしょう。