見出し画像

情報セキュリティ10大脅威 2024、セミナーアンケートから見る傾向と対策とは?

2024年1月24日、IPA(独立行政法人情報処理推進機構)から、「情報セキュリティ10大脅威 2024」が発表されました。

「情報セキュリティ10大脅威」は、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案の中から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者・企業の実務担当者などのメンバーから構成される「10大脅威選考会」が、その脅威候補に対して審議・投票を実施して決定されます。

 情報セキュリティ10大脅威は毎年更新され、ITを活用する“個人”向けと、ビジネスを中心とした“組織”向け、それぞれで10の脅威が発表されます。特に“組織”向けの内容は、多くの企業・組織がセキュリティ対策を考える上で、重要な情報源の一つとなっています。

 エムオーテックス(MOTEX)では、今年の10大脅威発表直後の2月8日に、それらをいち早く解説する緊急企画パネルディスカッションWebinarを実施しましたので、今回はその中での要点を抜粋してご紹介します。

 (── 少し裏話をさせていただくと、「少なくとも1月中には、10大脅威が発表されるだろう」という見通しで開催を決めていたので、このWebinarを告知した時点では、今年の10大脅威は発表されていませんでした。

 「まだ発表されてもいないのに、皆さんに参加していただけるだろうか?」と心配していたのですが、ふたを開けてみると500名以上の方に申し込みをいただき、改めて10大脅威への関心の高さを実感した次第です)。


情報セキュリティ10大脅威 2024の全体像


下記は2019年から最新の2024年までに、10大脅威に挙げられた脅威の推移を示した資料です。

出典:IPA│情報セキュリティ10大脅威 2024   ※グラフはIPA公表資料よりMOTEXにて作成

 2019年から比較すると、新型コロナウイルス感染症の感染拡大の前後で、10の脅威内容に大きな変化が見られました。一方、直近の2023年と2024年とを比較すると、順位の上下こそありますが、ランクインしている10の脅威自体に変化はありませんでした。

注意したいのは、必ずしも「変化がない=これまでの対策で問題ない」という認識は危険である、ということです。例えば「ランサムウェアによる被害」が4年連続1位ということは、十分な対策が取れていない、あるいはランサムウェアの攻撃手法が巧妙化・多様化したことで、対策をしても防ぎ切ることが困難になっている、といった状況が見て取れます。

後述する“脅威ごとの説明”部分でも補足しますが、順位や内容に大きな変化が無くとも、自社の対策が現状のままで良いか?変更すべきか?は改めて考えていく必要があると思います。
                        

情報セキュリティ10大脅威の活用方法は?

脅威ごとの具体的な解説に入る前に、10大脅威を各組織の皆さんがどのように活用しているのか?について、Webinar参加者にアンケートで聞いてみました。

最も多かったのが「自身が行うセキュリティ対策の参考にする」で34%、次いで「社内の啓蒙や教育に活用する」が29%という結果でした。

実際にMOTEXでも、社内のセキュリティ教育資料に引用したり、社外イベントで10大脅威に関するクイズを出題してみたりと、セキュリティ教育・啓蒙に幅広く活用しています。

関西サイバーセキュリティ・ネットワーク事務局(近畿経済産業局・近畿総合通信局等が運営)
主催の、10大脅威をテーマにしたイベントの様子

関連ページ
wizLANSCOPE│サイバーセキュリティに関するクイズ大会を開催!「情報セキュリティセミナー in 大阪」


情報セキュリティ10大脅威の中で、関心が高いのは?


続いて、10大脅威の中で特に気になる内容をアンケートで聞いてみました。

アンケートの結果、10大脅威の中でも4年連続1位となっている「ランサムウェアによる被害」が55%で最も多く、参加された皆さまも高い関心を持たれていることが分かりました。

次点で「内部不正による情報漏洩」が気になるという声が多く、昨今、従業員や退職者による情報持ち出しといった、内部不正を起因とするセキュリティ事件が多い影響もあり、高い関心が寄せられていることが推測されます。

また、3位は同じ票数で「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」「不注意による情報漏洩等の被害」となりました。

サプライチェーン攻撃と標的型攻撃は、過去5年間でも常に10大脅威のTOP5にランクインしており、引き続き注視すべき脅威です。

一方、不注意による情報漏洩等の被害は3年連続で順位を上げていますが、その背景には、DX推進や働き方の多様化によるクラウドサービスの普及と、それに伴う情報漏洩事故の増加があるように思います。

以降では、参加者アンケートで関心度が高かった

「ランサムウェアによる被害(1位)」
「内部不正による情報漏洩(2位)」
「不注意による情報漏洩などの被害(6位)」

について、それぞれの要点と対策をお伝えします。

ランサムウェアによる被害(10大脅威:1位/参加者アンケート:1位)

 ランサムウェアとは、企業にとって重要なデータやシステムを何かしらの方法で窃取し、それらを人質に身代金を要求する手口です。

 IT化・DX推進によって、事業運営において必要不可欠なデータやシステムが増加するのに伴い、これらを狙ったランサムウェアによる攻撃も増加しています。

 4年連続1位の理由としては、さまざまなサイバー攻撃の最後にランサムウェアが用いられるケースが多いこと。そして、一度攻撃を受けると工場や提供サービスの停止などに至り、一般消費者への影響も大きいことから、メディアで取り上げられる機会が増えていることが挙げられます。

 また、ランサムウェアによる脅迫が成功すれば、攻撃者は直接金銭を得られるため、攻撃手段として頻繁に用いられることも注目度の高い要因でしょう。

 ランサムウェアへの対策としては、アンチウイルスソフト(EPP: Endpoint Protection Platform)やEDR(Endpoint Detection and Response)などの導入といったシステム的な対策はもちろん、バックアップの取得も重要です。また、バックアップは取っていたものの、いざ被害を受けたときに復元できなかった、というケースもよく耳にするため、バックアップの取得だけでなく有事に備えた復旧訓練までの一連を、一度は行っておくことが大切です。

 

内部不正による情報漏洩(10大脅威 :3位|/参加者アンケート :2位)


内部不正による情報漏洩が、昨年から1つ順位を上げて3位にランクインしています。また、Webinar参加者のアンケートでも、1位のランサムウェアによる被害に続き、高い関心を集めていました。

 機密情報を含むあらゆる情報がデータ化され、それを複数の従業員がオンラインで活用するような環境になる一方で、テレワークにより従業員の業務状況が把握しづらかったり、クラウドサービスから不正にデータを持ち出されてしまったりといった懸念が、セキュリティに関わる皆さまの中で、高まっているように感じます。

 私自身も、内部不正は2024年に改めて見直すべき対策領域だと、下記2つの理由から考えています。

(1)データの価値の向上

先述の通り、DXの推進によってデータのデジタル化が進み、さらに、場所を問わず容易に社内データへのアクセスが可能になることで、「データを盗んでも、誰にも見つからないのではないか?」と、魔が差すような状況の増加が予想されます。

下記の図は「不正のトライアングル」と言われ、「機会」「動機」「正当化」の3つの要素が揃ったとき、人は不正を行いやすいとされています。

「3要素」が高まる、具体的な例

  • 「機会」…DX推進によってデータにアクセスしやすくなる、テレワークによって誰にも見られない(ばれない)状況が増える

  • 「動機」…不況により業績が悪化する、目標達成に対し強いプレッシャーを感じる状況が増える

  • 「正当化」…長時間残業への不満が増加する、物価高騰を受け、自身の待遇への不満が高まる

 

(2)転職市場の活性化

 内部不正対策への取り組みを見直すべき、2つ目の要因は「転職市場の活性化」です。

 下記は総務省統計局の「令和4年 労働力調査年報」データをもとに、転職者と転職希望者の推移を表した図になります。2021年から2022年で転職希望者が大きく増加しており、転職市場は今後も活性化すると考えられます。

 出典:総務省統計局│令和4年 労働力調査年報   ※グラフは上記を参考に弊社にて作成


この転職市場の活性化と、前述のデータの価値の高まり、そして不正のトライアングルが揃うことで、「退職時に社内の機密情報を不正に持ち出す」などといった、内部不正の増加につながることが予想されます。

内部不正対策としては、基本的な内容ですが、特に下記3つが必要だと考えられます。

  1. 従業員に向けた教育

  2. 機密データの管理や、ツールによる持ち出しの防止

  3. 万が一に備えた証跡の取得

すでに対策している企業様も多いと思いますが、2024年は改めて、いま取り組んでいる内部不正対策を見直してみてはいかがでしょうか。

不注意による情報漏洩等の被害(10大脅威:6位/参加者アンケート:3位)


最後に取り上げるのが、「不注意による情報漏洩などの被害」です。

「不注意」には、例えば「USBメモリーやPC・モバイル端末」などの物理的な情報機器の紛失もありますし、あるいはメールの誤送信による情報漏洩なども該当します。また昨今、増加している行為に、クラウドサービスの設定ミスによる情報漏洩が挙げられます。

他の脅威の章でも説明した通り、DX推進を目的に、今や多くの組織が複数のクラウドサービスを活用しています。しかしクラウドサービスの普及に伴い、データの共有設定を意図せず一般公開にしてしまい、外部からデータが丸見えになっていた、などの情報漏洩事件が増加しています。

クラウドサービスの利用によって生産性の向上を図ることは重要ですが、一方で情報漏洩につながる設定ミス・不備は、定期的に確認を行うことで防止する必要があるでしょう。

下記は、実際にMOTEXのクラウドサービス診断チームが診断業務を行う中で、情報漏洩につながる可能性のある設定不備をまとめた資料になります。

これによると、「認証」や「外部共有」、「ゲストユーザー」など、社内と社外をつなぐ部分での設定不備が多いと分かります。皆さんも、自身・自組織が利用しているクラウドサービスの共有設定など、外部と関わる設定項目について、見直してみることをお勧めします。


まとめ

今回は「情報セキュリティ10大脅威 2024」をもとに、傾向や対策を解説させていただきました。いかがでしたでしょうか?

もちろん、10大脅威がすべての脅威ではありませんし、組織の業種や規模・体制によっても取り組むべき対策は異なります。ぜひ10大脅威のランキングだけにとらわれず、セキュリティ対策を幅広く検討する上での、1つの情報としてご活用いただければ幸いです。

今後もMOTEXでは、10大脅威の詳細や2024年のセキュリティ脅威動向に関して、Webinarやnoteなどで発信していきますので、どうぞよろしくお願いします!



この記事が参加している募集

サイバーセキュリティの最新情報やお役立ちコンテンツを随時発信しています! 時々バンニャ😸も登場 ♪