Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
安全に企業活動を行う中で欠かせないセキュリティ対策。我々は常に様々な脅威にさらされています。そのような脅威から企業を守っていくためには、最新の脅威やリスクの高い脅威情報をキャッチアップし、しっかりと対応していく必要があります。そこで対策の参考にしたいのが、IPA( 独立行政法人 情報処理推進機構)から毎年発表される「情報セキュリティ10大脅威」です。
今回は、2022年1月27日に発表された最新の「情報セキュリティ10大脅威 2022」をご紹介するとともに、対策すべき重要な項目について読み解いていきたいと思います。
IPA「情報セキュリティ10大脅威」とは
そもそも、情報セキュリティ10大脅威とは、その年に社会的影響が大きいと想定される脅威に対してランキング表示したものです。実際に発生した様々なセキュリティ事案から独立行政法人情報処理推進機構(IPA)が脅威候補を選出、その上で「10大脅威選考会」が、個人・組織の2つの立場に向けて審議・決定しています。
この「10大脅威選考会」は、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなっており、エムオーテックスからも3名が選考委員として参加しています。
情報セキュリティ10大脅威は、その年のセキュリティ動向をキャッチアップできるランキングとなっており、毎年多くの企業が注目しています。昨年であれば「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランキングされました。コロナ禍の新しい働き方としてテレワークや在宅ワークが増える今、まさに影響度の高い脅威で、実際に多くの企業でセキュリティ強化を行うこととなりました。それでは2022年の傾向をみていきましょう。
情報セキュリティ10大脅威2022組織編を読み解く
2022年の情報セキュリティ10大脅威は、2022年1月27日に発表されました。今年の傾向は、昨年と大きく変動することはなく、外部脅威がより多く上位を占める結果となりました。今回はランキング全体から見えた、今年注力すべき3つの傾向をご紹介します。
傾向1「ランサムウェアによる被害・標的型攻撃による情報窃取(サイバー攻撃)」
傾向2「脆弱性情報の公開前後を狙った攻撃」
傾向3「不正やうっかりミスによる内部からの情報漏えい」
<2022年 情報セキュリティ10大脅威>
傾向1「ランサムウェアによる被害・標的型攻撃による情報窃取(サイバー攻撃)」(2022年:第1位 →2年連続1位)
今年は10の脅威のうち7つが外部脅威で占める結果となりました。(1位~4位、7位、8位)。特にランキング1位の「ランサムウェアによる被害」と2位の「標的型攻撃による機密情報の窃取」は、昨年に続き2年連続1位・2位を獲得しており、情報セキュリティ対策を行う上でサイバー攻撃対策は、今最も重要視すべき対策であることがお分かりいただけるかと思います。
<攻撃手口>
・メールから感染させる
・Webサイトから感染させる
・脆弱性によりネットワーク経由で感染させる
・公開サーバーに不正アクセスして感染させる
●被害状況
| 2021年4月 | 石油パイプラインが操業停止 | ガソリン不足を懸念して買いだめ行動が発生。売り切れ・価格高騰し社会的混乱を招いた。 |
| 2021年10月 | 病院が一時診療不可 | 会計システムや電子カルテにアクセスできなくなり、一部診察不可に陥った。 |
| 2022年3月 | サプライヤーがシステム障害 | サーバーがダウン、部品の納品ができなくなり、生産ラインが一時停止してしまった。 |
ランサムウェアは攻撃経路も多岐に渡ります。様々なルートがあるため、社員・情シス含めた会社全体での対策が必要です。
<求められる対策>
・CSIRTなどの対応体制の構築
・多要素認証の設定を有効にする
・不正アクセス対策やネットワーク分離などの環境構築
・OSやアプリケーションなどの脆弱性対策の徹底
・万が一の備えとしてバックアップを取得しておく
・セキュリティルールの徹底
→添付ファイルを安易に開かない
→提供元が不明なソフトウェアを実行しない など
10大脅威におけるこれらのサイバー攻撃対策について、徹底解説したブログを公開中ですので、そちらもぜひご参照ください。
傾向2「脆弱性情報の公開前後を狙った攻撃」
脆弱性対策情報の公開に伴う悪用増加(2022年:第6位 大幅ランクUP)
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW)
前述のような外部脅威対策が増えるに伴い、「脆弱性対策」の重要性も高まっています。常にOSやアプリケーションのバージョンを最新にしておくことで、サイバー攻撃を受けるリスクを大幅に減らすことが可能です。
<攻撃手口>
・対策前の脆弱性(Nデイ脆弱性)を悪用
・ダークウェブなどに公開されている攻撃ツールを使用
今回のランキングでは、6位の「脆弱性対策情報の公開に伴う悪用増加」と、今回初登場7位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」などといった脆弱性に関連したランキングが登場しました。一見似たような項目ですが、6位が『脆弱性公開後』、7位が『脆弱性公開前』の脅威を指しており、昨年1つだった脆弱性に関連した脅威が、今年は2つに分かれてランクインしています。このことからも、今年は脆弱性を突いた攻撃が増えると考えられます。
その実例となるのが、昨年末話題に上がったWebサーバーソフト「Apache Log4j2」の脆弱性突いた攻撃です。修正プログラムが提供される前の脆弱性を悪用した攻撃で、今回は攻撃が観測されたと同時に脆弱性対策情報が公開されており、脆弱性情報が出た頃には一部のユーザーでは既に攻撃を受けていたというものでした。今回のセキュリティ10大脅威ランキング、初登場7位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がこれに当たります。この場合、通常の脆弱性対策だけでは対応しきれないため、外部からの侵入を検知し、防ぐためのシステムが重要です。
<求められる対策>
・常に最新の脆弱性情報を収集できる体制を構築する
・IT資産情報(OSやアプリなど)を全て把握、最新の状態にしておく
・ネットワーク監視や攻撃通信を検知、遮断する体制構築
・攻撃の予兆や被害が早期検知できる体制構築
このことからも、脆弱性対策は重要であると共に、ゼロデイ攻撃など対策が及ばない場合に対しても対応方法が求められていることが分かります。
傾向3「不正やうっかりミスによる内部からの情報漏えい」
内部不正による情報漏えい(2022年:第5位 ランクアップ)
不注意による情報漏えい等の被害(2022年:第10位 ↓1ランクダウン)
外部脅威が占める中で密かに順位を上げているのが5位の「内部不正による情報漏えい」です。上位を占める外部脅威にフォーカスされがちですが、2020年には第2位にまでランクを上げたこともあります。外からの攻撃を防御できたとしても、身内から漏えいしてしまっては意味がありません。内部からの情報漏えい対策の重要性も忘れてはいけません。
<攻撃手口>
・アクセス権限の悪用
・退職者による不正な持ち出し
→在職中のアカウントの不正利用
→USBメモリなどの記憶媒体による情報持ち出し
→Webメールやクラウドストレージ経由の持ち出しなど
●被害状況
| 2021年1月 | 転職先へ技術情報を漏洩 | 営業機密情報を私用のメールアドレスへ添付して持ち出した。不正競争防止法違反で情報を漏洩した元社員を逮捕。さらに転職先企業と転職者を相手取り民事訴訟へ発展 |
| 2021年3月 | 顧客情報を不正に取得・悪用 | 委託先SEが、顧客のIDとパスワードを盗み、顧客に成りすまして資産売却・現金化、損害額は2億円以上に上る |
実際に、昨年は退職者による情報漏えい事件など大きな内部不正事件が多発しました。転職先である競合企業へ、顧客情報や技術情報などの秘密情報持ち出すなどで損害を受けたと、損害賠償請求に発展したケースが多数ありました。
また、これまで内部情報漏えいといえば、持ち出した個人情報自体を売って利益を得るケースがよくみられましたが、入手した個人情報を悪用して、さらなる利益を得ようとする事件も増えています。ある証券会社の委託先SEが、顧客のIDとパスワードを盗み、顧客に成りすまして資産売却・現金化、損害額は2億円という事件も記憶に新しいかと思います。この「内部不正」は、この情報セキュリティ10大脅威が始まった2011年当初から継続して取り上げられてきており、未だ無くならない脅威の一つです。
<求められる対策>
・IT資産情報を全て把握しておく
・機密情報の管理や保護を正確に行っておく
・不要なアカウントをなくし、正しい人の利用かどうかなどのID管理
・社員のセキュリティリテラシーを育成
・操作ログの取得などにより予兆を早期発見できる体制構築
加えて10位の「不注意による情報漏えい等の被害」も対策すべき脅威です。情報漏えい事故の9割は不注意によるものと言われており、前述のような悪意ある情報漏えいはごく一部となっています。
JIPDEの「個人情報の取扱いにおける事故報告集計結果」では、情報漏えいの原因の第1位は「誤送信」となっており、第2位が「その他漏えい」で、関係者事務処理・作業ミス等・プログラム/システム設計・作業ミスといった内訳となっており、通常業務を行う中で誰にでも起こり得る脅威となっています。
このことからも内部情報漏えい対策として「悪意ある漏えい」と「うっかりミス」の双方の対策を行うことが求められます。
<2020年度「個人情報の取扱いにおける事故報告集計結果」>
以上が2022年情報セキュリティ10大脅威の傾向です。本ランキングを受け、企業に求められる情報セキュリティ脅威対策は多岐に渡ることがお分かりいただけたかと思います。
・傾向1「ランサムウェアや標的型攻撃などのサイバー攻撃」=外部脅威対策
・傾向2「脆弱性情報の公開前後を狙った攻撃」=脆弱性対策
・傾向3「不正やうっかりミスによる内部からの情報漏えい」=内部情報漏えい対策
多くの企業が多層防御を実現すべく複数のツールを駆使して日々対策されているかと思います。複雑化する企業の情報セキュリティ対策を実現させるためには、セキュアな環境構築はもちろん、それらを効率的で網羅的に運用管理できるかどうかが求められます。
エムオーテックスでは、外部脅威対策・内部情報漏えい対策・脆弱性対策が1つのツール「LANSCOPE」で対策が可能で、管理者の運用負担や導入コストを下げることが可能です。2022年の情報セキュリティ10大脅威対策ツールとして、ぜひお役立ていただければ幸いです。
また情報セキュリティの10大脅威に関して、さらに理解を深めたい方・対策方法を知りたい方は、以下の資料をご確認ください。
関連する記事
