IPA「情報セキュリティ10大脅威 2023」と比較してみた
1月25日に、IPAが「情報セキュリティ10大脅威 2023」を公開しました。他の組織やメディア等はどんなランキングをしているのか、IPAとの同異にちょっと気になり、比較してみました。
比較対象
IPAランキングとの比較対象は、特に事前に決めていたソースを選んでいるのではなく、「セキュリティ脅威 2023」「security threats 2023」のようなキーワードで検索エンジンで検索した結果からフィットしそうな情報をピックアップしてみただけです。
たくさんあったので、IPAを含め5つにしました。
IPA「情報セキュリティ10大脅威 2023」-組織観点
2023 Predictions:2023年サイバーセキュリティ予想
The most dangerous cyber security threats of 2023
Cybersecurity Threats In 2023: An Expert’s Top 5 Predictions
TOP 10 CYBERSECURITY THREATS TO BUSINESSES IN 2023
比較結果
2023年2月時点の上記各リンク先の内容に基づいて以下のように整理しました。
各文章内の記載順通りに並べたのは下図
IPAの項目とマッピングしてみたのは下図
※マッピングは、私自身の理解に基づいたものです。間違いや不適切だと思われる箇所ありましたら、ぜひコメントくださいませ。
また、一部のマッピングは、粒度感や記載の観点に違いがあるものの、同じたぐいとして考えてもよいではないかと思う部分があります。例えば、「不注意による情報漏えい等の被害」に「Lack of cyber security knowledge」をマッピングしているのは、後者は前者の一因でも考え得るからです。
感想
それぞれの焦点に異なる部分はあるものの、ランサムウェア、サプライチェーン、ビジネスメール詐欺、犯罪のビジネス化、といったキーワードは比較的に多く共通しているとみてとれます。
やはり、自己顕示欲や承認欲求のためというより、なにか物質的な見返りを求める攻撃者の割合が増えているからでしょうか、いずれも、利益追求に主眼が置かれています。
ランサムウェアについて
ランサムウェアは依然としてトップレベルの脅威としてランクされていますが、果たして2023年も猛威を振るい続けられるのか興味深いです。
ちょうど先日、「HIVE」に対する快挙が報じられました。ランサムウェアに対する認知度は高くなっているにつれ、防御策だけではなく、反撃も期待できるでしょう。ランサムウェアを用いた攻撃のROIは攻撃者からみて悪くなったら、自然と減っていくではないかと思います。