情報セキュリティ10大脅威にISMSで立ち向かう！（前編）

＜この記事で知れること＞
・情報セキュリティ10大脅威について
・ISMS規格について
・ISMSを活用した情報セキュリティ10大脅威への立ち向かい方

IPAが毎年、前年社会的に影響が大きかった脅威をランキング化した「情報セキュリティ10大脅威」。
もちろんこれ以外にもたくさんの脅威はありますが、これらの脅威に積極的に対応することができれば、組織を取り巻くリスク低下に大きく寄与するかもしれません…！

そして組織の情報セキュリティレベルの維持・向上のための仕組みISMS。
ISMSの中でどの取り組みが、10大脅威のどれに対応しているのか把握できれば、適切な対策に注力することができると思いませんか!?

ということで今回、情報セキュリティ10大脅威2023をみていきながら、ISMSのどの取り組みで対応していくのか整理してみようと思います。

情報セキュリティ10大脅威について

改めてになりますが、「情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威の候補を審議・投票し、「個人向け脅威」と「組織向け脅威」のランキングを発表しているものです。
つまり「イマ注目しておかなければならない脅威」をまとめて知ることができるということです。

情報セキュリティ10大脅威 2023：IPA 独立行政法人 情報処理推進機構

ISMS規格について

少し噛み砕いてISMS規格という表現をしましたが、正確にはISO/IEC27001（JIS Q 27001）というのがISMSの土台となる規格です。
この規格には、情報セキュリティの仕組みを作り、運用し、チェックし、改善するという枠組みの部分と、具体的なセキュリティリスクを管理するための対策が記載されています。

今回の脅威に対応するための取り組みは、後者が当てはまることになります。

日本規格協会 JSA GROUP Webdesk

ISMSを活用した情報セキュリティ10大脅威への立ち向かい方！

ここまでの説明で、情報セキュリティ10大脅威という「リスク」と、ISMS規格という「対策」、これらがマッチすることでリスクに立ち向かうことができるというイメージを持っていただけたのではないでしょうか。

ここからは具体的に「この脅威にはこの管理策で」ということを整理していこうと思います。ただ本来は複数の管理策が対応する可能性が高いですが、今回は特に関連しそうなものをピックアップしていきます。

10位 犯罪のビジネス化（アンダーグラウンドサービス）

脅威の概要
犯罪に使用するためのサービスやツール、IDやパスワードの情報などが闇市場で取引され、それらの情報などを悪用した攻撃が行われるというもの。

「附属書A全般」
この脅威はあまり特定の管理策によって防ぐものといえないかもしれません。
というのもそのほかの脅威によって情報漏えいしたことで、その漏えいした情報が利用されてしまうという脅威なので、管理策全般が対策になるといえます。

「5.16 識別情報の管理」
「5.17 認証情報」
識別情報（IDなど）や認証情報（パスワードなど）は発行から削除までしっかり管理しましょうという管理策です。
事後対応の観点で、闇市場に流出してしまっているかもしれないことがわかればすぐにアカウント停止したりパスワード変更するなどのルール整備を行なっておくことが重要になってくるかもしれません。

9位 不注意による情報漏えい等の被害

脅威の概要
メール誤送信や端末紛失などの不注意によるリスク。

「5.14　情報の転送」
情報転送のルールなどを全ての情報転送手段で定めておきましょうという管理策。
誤送信といった不注意に対して最もマッチする管理策の一つと言えるでしょう。従業者が不注意による誤送信を行わないようにするために、まずはルールを整理するということも大切です。

「5.37 操作手順書」
設備の操作手順を整備しましょうという管理策。
明確な手順がなければそれだけ操作ミスなどの不注意による被害も発生しやすくなってしまいます。従業者が適切な行動を取れるように手順を明確化しておくということも大切かもしれません。

「8.12 データ漏えい防止」
データ漏えい防止の対策を情報処理を行うシステムなどに適用しましょうという管理策。
不注意によるミスは防ぎきれないもの、という考え方のものミスが起きた時に漏えいを防ぐことのできる取り組みとして有効なものになります。

8位 脆弱性対策情報の公開に伴う悪用増加

脅威の概要
ソフトやハードに関して公開された脆弱性対策情報を悪用して、脆弱性対策が行われる前のソフトやハードを狙って攻撃を行うというもの。

「8.8 技術的ぜい弱性の管理」
利用しているシステムの脆弱性情報を獲得して、適切な対応を行いましょうという管理策。
この脅威を防ぐためには、狙われる時間を少しでも短くすることに尽きると思います。つまりこの管理策に基づいて迅速に情報収集し、対応できる体制を準備しておくということが重要になってきます。

「8.16 監視活動」
ネットワークやシステムなどに異常な挙動がないか監視し、適切な対応を行いましょうという管理策。
自分たちが狙われうる穴を持っていないか、ターゲットになっていないか確認するための取り組みとして有効になってくる可能性があります。

7位 ビジネスメール詐欺による金銭被害

脅威の概要
悪意ある第三者が取引先等になりすまして偽メールを送ったり、組織間のメールのやり取りを乗っ取って、偽の銀行口座に送金させるというもの。

「5.3 職務の分離」
相反する職務、相反する責任範囲は分離しましょうという管理策。
この脅威のように金銭が絡むやり取りには、他の人が確認するという方法も基本的ではありながらも有効なものかもしれません。

「5.14　情報の転送」
情報転送のルールなどを全ての情報転送手段で定めておきましょうという管理策。
不注意という脅威にも登場しましたが、この脅威においては、例えば金銭が絡むようなやり取りはメールプラスαで確認するなどの合意を行うなどの仕組みを整えるというのも一つの手法として考えられます。

6位 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

脅威の概要
OSやソフトなどに脆弱性が発覚した際に、脆弱性の修正プログラムなどが提供される前に、その脆弱性を悪用して攻撃を行うというもの。

「5.21 情報通信技術（ICT）サプライチェーンにおける情報セキュリティの管理」
「5.23 クラウドサービスの利用における情報セキュリティ」
これらは、ICT製品やサービス、クラウドサービスなどを適切に管理しましょうという管理策。
ゼロデイ攻撃を利用者側で防ぐというのも限界があるので、例えばICT製品やサービス、クラウドサービスの選定段階で、どの程度セキュリティアップデートが行われるのかなど確認をしておくといったことが小さいながらも後々大きな差につながるかもしれません。

「8.8 技術的ぜい弱性の管理」
利用しているシステムの脆弱性情報を獲得して、適切な対応を行いましょうという管理策。
脆弱性対策情報が公開された後の脅威でも登場しましたが、この脅威においては、修正プログラム配信までの間にできることはないか、もしくは一層の事一時利用停止すべきなのかといった情報を収集し、判断するという観点で活用できるかもしれません。

まとめ

まずは前半として10位から6位までを見てきました。
例えば8位と6位などは一見似たような脅威にも見えますが、対策の面から見ると実は違う脅威であることも見えてきたような気がしませんか？
そして「ISMSに対応していっていると、こういう観点でこういう脅威に対策できているのか」というモチベーションにもつながるかもしれません。

次回は引き続き5位から1位の脅威についても同じように見ていきたいと思います。