トレンド

IPA「情報セキュリティ10大脅威2022」を徹底解説!今年注力すべきエンドポイントセキュリティ対策とは!?

Written by ねこずきのねこ。

広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。

IPA「情報セキュリティ10大脅威2022」を徹底解説!今年注力すべきエンドポイントセキュリティ対策とは!?

情報セキュリティ10大脅威2022を徹底解説!今年注力すべきエンドポイントセキュリティ対策とは!?

2022年の情報セキュリティ10大脅威を解説するとともに、LANSCOPEで行う具体的な対策方法をご紹介します。

資料をダウンロードする

安全に企業活動を行う中で欠かせないセキュリティ対策。我々は常に様々な脅威にさらされています。そのような脅威から企業を守っていくためには、最新の脅威やリスクの高い脅威情報をキャッチアップし、しっかりと対応していく必要があります。そこで対策の参考にしたいのが、IPA( 独立行政法人 情報処理推進機構)から毎年発表される「情報セキュリティ10大脅威」です。2022年のランキングは1月27日に発表され、3月10日には、ランキング脅威の動向や対策をまとめた「情報セキュリティ10大脅威 2022」の解説書が公開されました。今回は、2022年1月27日に発表された最新の「情報セキュリティ10大脅威 2022」をご紹介するとともに、重要な項目について読み解いていきたいと思います。

IPA「情報セキュリティ10大脅威」とは

そもそも、情報セキュリティ10大脅威とは、その年に社会的影響が大きいと想定されるセキュリティ事案から独立行政法人情報処理推進機構(IPA)が脅威候補を選出、その上で「10大脅威選考会」が、個人・組織の2つの立場に向けて審議・決定したランキングとなっています。この「10大脅威選考会」は、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなっており、エムオーテックスからも3名が選考委員として参加しています。

この情報セキュリティ10大脅威は、その年のセキュリティ動向をキャッチアップできるランキングとなっており、毎年多くの企業が注目しています。昨年であれば「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランキングされました。コロナ禍の新しい働き方としてテレワークや在宅ワークが増える今、まさに影響度の高い脅威で、実際に多くの企業でセキュリティ強化を行うこととなりました。それでは2022年の傾向をみていきましょう。

情報セキュリティ10大脅威2022組織編を読み解く

2022年の情報セキュリティ10大脅威は、2022年1月27日に発表されました。今年の傾向は、昨年と大きく変動することはなく、外部脅威がより多く上位を占める結果となりました。今回はランキング全体から見えた、今年注力すべき3つの傾向をご紹介します。

傾向1「ランサムウェアによる被害・標的型攻撃による情報窃取(サイバー攻撃)」
傾向2「脆弱性情報の公開前後を狙った攻撃」
傾向3「不正やうっかりミスによる内部からの情報漏えい」

<2022年 情報セキュリティ10大脅威>

傾向1「ランサムウェアによる被害・標的型攻撃による情報窃取(サイバー攻撃)」(2022年:第1位 →2年連続1位)

今年は10の脅威のうち7つが外部脅威で占める結果となりました。(1位~4位、7位、8位)。特にランキング1位の「ランサムウェアによる被害」と2位の「標的型攻撃による機密情報の窃取」は、昨年に続き2年連続1位・2位を獲得しており、情報セキュリティ対策を行う上でサイバー攻撃対策は、今最も重要視すべき対策であることがお分かりいただけるかと思います。

2021年4月 石油パイプラインが操業停止 ガソリン不足を懸念して買いだめ行動が発生。売り切れ・価格高騰し社会的混乱を招いた。
2021年10月 病院が一時診療不可 会計システムや電子カルテにアクセスできなくなり、一部診察不可に陥った。
2022年3月 サプライヤーがシステム障害 サーバーがダウン、部品の納品ができなくなり、生産ラインが一時停止してしまった。

ランサムウェアは攻撃経路も多岐に渡ります。「メールから感染させる」「ウェブサイトから感染させる」「脆弱性によりネットワーク経由で感染させる」「公開サーバーに不正アクセスして感染させる」など様々なルートがあるため、社員・情シス含めた会社全体での対策が必要です。

10大脅威におけるこれらのサイバー攻撃対策について、徹底解説したブログを公開中ですので、そちらもぜひご参照ください。

関連ページ

IPAセキュリティ10大脅威 2022」を深堀り!2021年に発生した重大脅威の半数に対応するCPMSの実力もご紹介 押さえておきたい4つのポイントとは?

傾向2「脆弱性情報の公開前後を狙った攻撃」
脆弱性対策情報の公開に伴う悪用増加(2022年:第6位 ⤴ 大幅ランクUP)
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW)

前述のような外部脅威対策が増えるに伴い、「脆弱性対策」の重要性も高まっています。常にOSやアプリケーションのバージョンを最新にしておくことで、サイバー攻撃を受けるリスクを大幅に減らすことが可能です。

今回のランキングでは、6位の「脆弱性対策情報の公開に伴う悪用増加」と、今回初登場7位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」などといった脆弱性に関連したランキングが登場しました。一見似たような項目ですが、6位が『脆弱性公開後』、7位が『脆弱性公開前』の脅威を指しており、昨年1つだった脆弱性に関連した脅威が、今年は2つに分かれてランクインしています。このことからも、今年は脆弱性を突いた攻撃が増えると考えられます。

その実例となるのが、昨年末話題に上がったWebサーバーソフト「Apache Log4j2」の脆弱性突いた攻撃です。修正プログラムが提供される前の脆弱性を悪用した攻撃で、今回は攻撃が観測されたと同時に脆弱性対策情報が公開されており、脆弱性情報が出た頃には一部のユーザーでは既に攻撃を受けていたというものでした。今回のセキュリティ10大脅威ランキング、初登場7位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がこれに当たります。この場合、通常の脆弱性対策だけでは対応しきれないため、外部からの侵入を検知し、防ぐためのシステムが重要です。

このことからも、脆弱性対策は重要であると共に、ゼロデイ攻撃など対策が及ばない場合に対しても対応方法が求められていることが分かります。

関連リンク

身近なアプリにも攻撃の可能性アリ!? 今話題のLog4j2の脆弱性と取るべき対策について解説します!

傾向3「不正やうっかりミスによる内部からの情報漏えい」
内部不正による情報漏えい(2022年:第5位 ⤴ ランクアップ)
不注意による情報漏えい等の被害(2022年:第10位 ↓1ランクダウン)

外部脅威が占める中で密かに順位を上げているのが5位の「内部不正による情報漏えい」です。上位を占める外部脅威にフォーカスされがちですが、2020年には第2位にまでランクを上げたこともあります。外からの攻撃を防御できたとしても、身内から漏えいしてしまっては意味がありません。内部からの情報漏えい対策の重要性も忘れてはいけません。

実際に、昨年は退職者による情報漏えい事件など大きな内部不正事件が多発しました。転職先である競合企業へ、顧客情報や技術情報などの秘密情報持ち出すなどで損害を受けたと、損害賠償請求に発展したケースが多数ありました。

また、これまで内部情報漏えいといえば、持ち出した個人情報自体を売って利益を得るケースがよくみられましたが、入手した個人情報を悪用して、さらなる利益を得ようとする事件も増えています。ある証券会社の委託先SEが、顧客のIDとパスワードを盗み、顧客に成りすまして資産売却・現金化、損害額は2億円という事件も記憶に新しいかと思います。この「内部不正」は、この情報セキュリティ10大脅威が始まった2011年当初から継続して取り上げられてきており、未だ無くならない脅威の一つです。

加えて10位の「不注意による情報漏えい等の被害」も対策すべき脅威です。情報漏えい事故の9割は不注意によるものと言われており、前述のような悪意ある情報漏えいはごく一部となっています。

JIPDEの「個人情報の取扱いにおける事故報告集計結果」では、情報漏えいの原因の第1位は「誤送信」となっており、第2位が「その他漏えい」で、関係者事務処理・作業ミス等・プログラム/システム設計・作業ミスといった内訳となっており、通常業務を行う中で誰にでも起こり得る脅威となっています。

このことからも内部情報漏えい対策として「悪意ある漏えい」と「うっかりミス」の双方の対策を行うことが求められます。

<2020年度「個人情報の取扱いにおける事故報告集計結果」>

以上が2022年情報セキュリティ10大脅威の傾向です。本ランキングを受け、企業に求められる情報セキュリティ脅威対策は多岐に渡ることがお分かりいただけたかと思います。

・傾向1「ランサムウェアや標的型攻撃などのサイバー攻撃」=外部脅威対策
・傾向2「脆弱性情報の公開前後を狙った攻撃」=脆弱性対策
・傾向3「不正やうっかりミスによる内部からの情報漏えい」=内部情報漏えい対策

多くの企業が多層防御を実現すべく複数のツールを駆使して日々対策されているかと思います。複雑化する企業の情報セキュリティ対策を実現させるためには、セキュアな環境構築はもちろん、それらを効率的で網羅的に運用管理できるかどうかが求められます。

エムオーテックスでは、外部脅威対策・内部情報漏えい対策・脆弱性対策が1つのツール「LANSCOPE」で対策が可能で、管理者の運用負担や導入コストを下げることが可能です。2022年の情報セキュリティ10大脅威対策ツールとして、ぜひお役立ていただければ幸いです。

情報セキュリティ10大脅威2022を徹底解説!今年注力すべきエンドポイントセキュリティ対策とは!?

2022年の情報セキュリティ10大脅威を解説するとともに、LANSCOPEで行う具体的な対策方法をご紹介します。

資料をダウンロードする