近年、ITの導入が進み、重要性が増すにつれて、情報セキュリティに対する事故や注意喚起のニュースをよく耳にするように思います。自社内での対策はもちろんのこと、アウトソーシングをする場合には委託先の対策状況を確認する必要があります。
またその手口には流行り廃りがあり、その時の流行や新しい攻撃方法に対して、影響を見ながら対策を進めていくことが求められています。
毎年、その年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案の中から、情報処理推進機構が「情報セキュリティ10大脅威 2023」を公開していますので、本日は、情報セキュリティ10大脅威を数年分比較しながら、セキュリティ脅威の流れを見ていきたいと思います。
情報セキュリティ10大脅威 2023
情報処理推進機構が公開した「情報セキュリティ10大脅威 2023」の中から、「組織」向けの脅威をピックアップしていきます。
| 順位 | 脅威の内容 | 前年順位 |
| 1 | ランサムウェアによる被害 | 1 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 3 |
| 3 | 標的型攻撃による機密情報の窃取 | 2 |
| 4 | 内部不正による情報漏えい | 5 |
| 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4 |
| 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7 |
| 7 | ビジネスメール詐欺による金銭被害 | 8 |
| 8 | 脆弱性対策情報の公開に伴う悪用増加 | 6 |
| 9 | 不注意による情報漏えい等の被害 | 10 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
これを見ると「ランサムウェアによる被害」が前年に引き続きトップになっていて、以前として影響が大きいことがわかります。テレワーク等の働き方自体が大きく変わっていないせいか、順位の変動はあるものの9位までの脅威は昨年同様の結果になっています。
新しい脅威が出てくると、それに対応した対策用のツールやソリューションも多く出てきます。手口は年々巧妙になり複雑さを増していること複雑さも増していることから、多層的な対策が求められています。
また「内部不正」や「不注意による情報漏えい等の被害」などは顕著ですが、ツールによる対策以外にも従業員への教育なども徹底することが必要になります。
情報セキュリティ10大脅威の流れ
続いては、過去の脅威と比べてどのような変化があったのかを、見ていきたいと思います。比べる対象は今と同じ形式で公表された2016年、2019年、2021年、2023年を見ていきます。
| 順位 | 2016年 | 2019年 | 2021年 |
2023年 |
| 1 |
標的型攻撃による情報流出 |
標的型攻撃による被害 |
ランサムウェアによる被害 |
ランサムウェアによる被害 |
| 2 |
内部不正による情報漏えいとそれに伴う業務停止 |
ビジネスメール詐欺による被害 |
標的型攻撃による機密情報の窃取 |
サプライチェーンの弱点を悪用した攻撃 |
| 3 |
ウェブサービスからの個人情報の窃取 |
ランサムウェアによる被害 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
標的型攻撃による機密情報の窃取 |
| 4 |
サービス妨害攻撃によるサービスの停止 |
サプライチェーンの弱点を悪用した攻撃の高まり |
サプライチェーンの弱点を悪用した攻撃 |
内部不正による情報漏えい |
| 5 |
ウェブサイトの改ざん |
内部不正による情報漏えい |
ビジネスメール詐欺による金銭被害 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6 |
脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 |
サービス妨害攻撃によるサービスの停止 |
内部不正による情報漏えい |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7 |
ランサムウェアを使った詐欺・恐喝 |
インターネットサービスからの個人情報の窃取 |
予期せぬIT基盤の障害に伴う業務停止 |
ビジネスメール詐欺による金銭被害 |
| 8 |
インターネットバンキングやクレジットカード情報の不正利用 |
IoT機器の脆弱性の顕在化 |
インターネット上のサービスへの不正ログイン |
脆弱性対策情報の公開に伴う悪用増加 |
| 9 |
ウェブサービスへの不正ログイン |
脆弱性対策情報の公開に伴う悪用増加 |
不注意による情報漏えい等の被害 |
不注意による情報漏えい等の被害 |
| 10 |
過失による情報漏えい |
不注意による情報漏えい |
脆弱性対策情報の公開に伴う悪用増加 | 犯罪のビジネス化(アンダーグラウンドサービス) |
これを見ると、2016年から継続して「標的型攻撃による機密情報の窃取」はTOP3に入っていて、また「内部不正による情報漏えい」も上位にランクインしていることがわかります。
2019年の「IoT機器の脆弱性の顕在化」や、2021年の「テレワーク等のニューノーマルな働き方を狙った攻撃」は時代の流れを表している脅威になっていて、ある程度対策がされてくると、下火になってくるのだと思います。
最後に
セキュリティ対策はどこまで行っても完璧は無いと思いますが、多層的に対策を講じていく必要があります。またこれは自社内に限った話ではなく、委託先や協力会社の中でも、どのような対策を講じているのかを確認する必要もでてきます。
特に海外へのアウトソーシングでは、まだまだセキュリティ対策がされていない会社が多いように感じます。当社では初めての海外アウトソーシングでも、安心してご利用できるようなセキュリティ対策を実施しております。ご興味がある方は、スタッフまでお気軽にお問合せください。
弊社のサービス紹介
それではまた。
アンドファン株式会社
中小企業診断士 田代博之
