No250 「情報セキュリティ10大脅威2022」が発表

えがおIT研究所

この時期の恒例ですが、IPAから「情報セキュリティ10大脅威2022」の解説書が公開されました。

今回はこの「情報セキュリティ10大脅威2022」の内容と使い方について解説します。


1. IPAとは?

既に耳にタコという愛読者もおられると思いますが、改めてIPAについて紹介しておきます。IPAという組織はこのメルマガで今までに何度も登場してもらっています。
https://www.ipa.go.jp

URLにある通り、最後が go.jp です。皆さんご存知の co.jp とは少し違います。

このgo.jpって何でしょうか?

これは、日本国や日本政府(goverment)に関連するサイトだけが使えるドメインで、一般企業や団体がgo.jpで終わるドメインを申請しても認可されません。

IPAもそういった機関の一つで、正式名称は「独立行政法人 情報処理推進機構」と言うものです。ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙推進を主目的に設立されています。

なんちゃら機構だとか独立行政法人などといわれると、融通のきかない形式主義的な組織をイメージする方も多いでしょう。
ま、実際IPAも税金で運営されている団体ですのでその傾向はあります。

それでも、IPAが発表する内容は信頼度が高く、筆者も信頼できる情報元としてよく参照しています。
また、啓蒙記事をマンガ形式や動画形式にするなど、一般の方にもわかりやすくする工夫をしている点も好感が持てます。


2. 情報セキュリティ10大脅威とは?

そのIPAが毎年2~3月に発表しているのが「情報セキュリティ10大脅威」というものです。

これは、毎年のセキュリティ事故や事件の中でも社会的に影響が大きかったもののベスト10(というかワースト10)を有識者の審議と投票で決めたものです。

1~2月に10大脅威の順位を先行発表、3~4月にはその詳細な解説書が刊行されます。
いずれも無料配布され、WebでもPDFが公開されています。

その情報セキュリティ10大脅威の2022年版(内容は2021年の事故や事件に関するもの)が発表されたのです。

「情報セキュリティ10大脅威 2022」を公開
 https://www.ipa.go.jp/security/vuln/10threats2022.html

あまり専門用語を用いず比較的平易な表現で書かれていますので、ご一読をおすすめします。

本メルマガでもこの10大脅威については毎年解説をしています。
(昨年は四回、一昨年も二回に分けて解説をしました)

note.comでもバックナンバーを公開してますので、興味のある方はご覧ください。

情報セキュリティ脅威2021
 「No198 「情報セキュリティ脅威2021」の使い方」
 「No199 ランサムウェアの今」 
 「No200 テレワークを狙った攻撃」
 「No201 パスワード管理とネット中傷」

情報セキュリティ脅威2020
 「No149 2019年最大の情報セキュリティ事故」
 「No150 多要素認証をも破る攻撃手法 」  

3. さて、2022年版の注目点は?

「情報セキュリティ10大脅威」は個人向けと組織向けという
ことでそれぞれ1位から10位を決めています。

まず、何はともあれ10大脅威の内容です。

なお、10大脅威の冊子にも書かれていますが、この順位は討議に参加した有識者による投票結果によって順位付けしたものです。ですから、1位~3位だけ対応すれば大丈夫というものではありません。

組織向けの10大脅威
 1位 ランサムウェアによる被害(前年1位)
 2位 標的型攻撃による機密情報の窃取(前年2位)
 3位 サプライチェーンの弱点を悪用した攻撃(前年4位)
 4位 テレワーク等のニューノーマルな働き方を狙った攻撃(前年3位)
 5位 内部不正による情報漏えい(前年6位)
 6位 脆弱性対策情報の公開に伴う悪用増加(前年10位)
 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(初登場)
 8位 ビジネスメール詐欺による金銭被害(前年5位)
 9位 予期せぬIT基盤の障害に伴う業務停止(前年6位)
10位 不注意による情報漏えい等の被害(前年7位)

個人向けの10大脅威
 1位 フィッシングによる個人情報等の詐取(前年2位)
 2位 ネット上の誹謗・中傷・デマ(前年3位)
 3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年4位)
 4位 クレジットカード情報の不正利用(前年5位)
 5位 スマホ決済の不正利用(前年1位)
 6位 偽警告によるインターネット詐欺(前年8位)
 7位 不正アプリによるスマートフォン利用者への被害(前年9位)
 8位 インターネット上のサービスからの個人情報の窃取(前年7位)
 9位 インターネットバンキングの不正利用(前年6位)
10位 インターネットサービスへの不正ログイン(前年10位)

例年一つか二つの新脅威がリストに加わり、その他は順位が多少上下するというパターンとなっています。

この傾向は本年も同様です。
組織向けの脅威ではランサムウェア(身代金を要求するマルウェア)の2年連続の1位、ゼロデイ攻撃が7位に加わった点が目立ちます。
個人向けの脅威では今回も順位が入れ換わっただけです。

じゃあ、今回は大した違いはないのか?というとそれは違います。
同じ脅威であっても、手法が変質したり進化したりしています。

また、社会環境もいろいろと変わっています。○○payといったスマホ決済、メールやショートメッセージによる連絡、テレワークなどが以前よりも日常化しています。
ネットワーク上に流れる秘密情報が増えるわけですから、攻撃する側にとっては魅力的な話です。実際、フィッシング対策協議会のレポートなどを見ていますと、攻撃回数は明らかに増えています。

むしろ、注意しなければいけないシーンは増えているのです。


4. ちょっと言い訳

さて、以下の章は前年(No198)でも書いた内容のくりかえしになります。

「おい、手抜きすんなよ」とおっしゃるかもしれませんが、決して手抜きではありません。(いや、ちょっとはそうかも...(笑))

このメルマガでは、同じテーマでも視点を変えたり、内容を一新させるなど、内容を進化させています。(パスワードの話などでは毎年内容を進化させています)

今回はほぼ同様の内容にも関わらず、繰り返しをするのは、以下の内容が情報セキュリティ教育として費用対効果が高い方法と筆者が考えるためです。


5. 一読するだけでは定着しない

上記の通り、この「情報セキュリティ10大脅威」というのは非常に有用な資料です。

この冊子は現場を知らない役人が作ったものではありません。

文書の末尾に10大脅威選考会メンバの一覧が付いていますが、情報セキュリティ専業会社はもとより、NTTデータ、NEC、東芝、日本IBM、パナソニック、日立、富士通といった有名企業、大学の研究者など、最前線で活躍しているセキュリティ専門家が多数参加して
作りあげた、現場の知見が反映された一級の資料です。

具体的な被害例や手口も記載されており、文章も一般の方が理解できるようにあまり専門的にならないよう注意して書かれています。

とはいいながら、それでもついつい専門的な表現を使ってしまう場合もあるようです。
例えば、「スミッシング」「多要素認証」などという用語が説明なく利用されていたりします。こういった用語をそのまま使うのはいかがなものかと思いますが、それでも同様の類書がなく、貴重な資料であるのは間違いありません。

冒頭に書いた通り、この資料を作成したIPAという組織は税金で運営されている組織です。我々が支払った税金で作られた資料が無償公開されているのですから、使わなければ損というものです。

組織メンバへの情報セキュリティ対策の教育資料として使えます。

とはいえ、「情報セキュリティ10大脅威」は60ページを越える冊子です。こんなのを組織内で回覧したり、メールで告知したって、こんなのを読んでるヒマなどない方が大半でしょうし、例え一度読んだとしても、普段意識しなければ、すぐに忘れます。

うまく組織メンバに定着させる方法はないものでしょうか?


6. 小出しにして毎週回覧がオススメ

幸いなことに「情報セキュリティ10大脅威」の本文は1つの脅威を2ページで解説するスタイルになっています。5分もあればどなたでも読めます。

このお手軽さを利用しない手はありません。
週に一度、一つの脅威を紹介してはいかがでしょうか?

昔ながらの紙での回覧、社内掲示板の利用、メール送付、社内用Webページに掲載など、皆さんの組織に合った方法で告知をしてはいかがでしょう?

理解度を上げるために、文中で別章の引用図表を添付する、上記のような用語に対する補足資料を添付する、といった対応はより有効です。(回覧を作るご担当は大変になりますが)

各メンバの意識を高めることは、情報セキュリティ対策の王道です。
情報セキュリティを高める上で一番のリスク源はヒトであり、その対策こそが大変だからです。

「あれ?ひょっとして今までのやり方って危ない?」
「このメールって、この間回覧で見た○○のことじゃないの?」
などと各メンバの注意力を磨けば、仕掛けられたワナにかかる可能性はグッと低くなります。

いくらお金をかけてシステムを整備しても、メンバの意識が低ければ、簡単にひっかかってしまいます。

メンバの意識を高めるには必ずしもおカネはかかりませんが、効果を得るまでには、長期間の地道な活動が必要です。
これを実施しようとしても、毎週ネタを担当者が準備するなんてできるはずがなく、結局は続かないのです。

情報セキュリティ10大脅威の冊子はこのようなネタとしてうってつけです。比較的平易な文章で書かれていますし、組織向け、個人向けに10件づつあります。
これを以下のようなスケジュールで回覧すればいかがでしょうか。
 ・4月頭~6月中旬:組織編(10回分)
 ・6月中旬~8月末:個人編(10回分)
 ・9月頭~11月中旬:組織編(10回分)2回目
 ・11月中旬~1月末:個人編(10回分)2回目
 ・2月頭~3月末:組織編(10回分)3回目

これなら、セキュリティ担当の負担をあまりかけずに、常に組織メンバが最新の10大脅威の知識を得ることができます。

皆さんの組織でも積極的にご活用してはいかがでしょうか。


7. まとめ

IPAという独立行政法人が毎年2月~3月に「情報セキュリティ10大脅威」という冊子を毎年刊行しています。

今回はその10大脅威(組織編、個人編)の紹介と、組織内での活用法について解説をしました。

このメルマガで毎回書いているように、情報セキュリティ対策情報は鮮度が命です。毎年のように新たな攻撃手法が出てきますし、今までは安全と思われていたものが安全でなくなるケースもよくあるからです。

にも関わらず、今回同じことを書いたのは、意識向上策やルール化といった組織メンバに関わるテーマはそうそう簡単に陳腐化しないからです。
逆に言えば定着させるのがそれだけ大変だということです。

次回からは、この10大脅威の個々の内容について解説をしたいと思います。
次回もお楽しみに。

(本稿は 2022年3月に作成しました)

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html


いいなと思ったら応援しよう!