脱IT初心者「社長の疑問・用語解説」(第81回)
成功するポイント?アクセスポイント
公開日:2023.03.20
毎年恒例の「情報セキュリティ10大脅威」の最新版が、1月25日に独立行政法人情報処理推進機構(IPA)から発表された。これは、2022年に発生した脅威の中から約200名の研究者や企業の実務担当者の投票によってランク付けされたものだ。すべての脅威が含まれているわけではないが、ここから情報セキュリティの最新のトレンドを読み取れる。
「情報セキュリティ10大脅威 2023」はいつものように「個人」と「組織」に分けて10大脅威を決定している。ここでは企業などを対象とした「組織」編を取り上げていく。
1位にランキングされたのは昨年、一昨年と同様に「ランサムウェアによる被害」だった。ランサムウエアと呼ばれるウイルスにパソコンやサーバーが感染すると、暗号化されて利用できなくなり、その復旧と引き換えに金銭を要求されるものだ。今、最も警戒すべき脅威と考えられている。
2位は「サプライチェーンの弱点を悪用した攻撃」だ。一昨年の4位、昨年の3位から毎年ランクアップしている。商品の企画開発から調達、製造、物流、販売といったサプライチェーン上で取引している企業などを狙った攻撃である。
強固なセキュリティ対策が講じられている大企業ではなく、ガードの甘い中小企業などの取引先に潜り込み、これを踏み台にして本命の企業を狙うという手口だけに、中小企業にとっては大きな脅威だといえる。
「情報セキュリティ10大脅威 2023」の解説書では、例として2022年3月に起きた攻撃が取り上げられている。トヨタ自動車の取引先のシステム障害により、国内の全工場が操業を停止した事件だ。実際に子会社の社内ネットワークへの侵入後に、同社の社内ネットワークにも侵入され、サーバーやパソコンへの攻撃の痕跡が確認されたという。
3位は特定の組織をターゲットとした「標的型攻撃による機密情報の窃取」、4位は「内部不正による情報漏えい」、5位は「テレワーク等のニューノーマルな働き方を狙った攻撃」と、ある意味いつもの顔ぶれが続く。注目すべきは2018年以来5年ぶりに圏外から10位にランクインした「犯罪のビジネス化(アンダーグランドサービス)」だろう。
ダークウェブまたはディープウェブと呼ばれる通常のブラウザーでは検索できないWebサイト上では、盗まれたIDやパスワードなどの情報が売り買いされているだけでなく、サイバー犯罪に使用するためのサービスやツールなどが取引されている。筆者も専門家からそうしたWebサイトを見せてもらったが、攻撃を請け負うサービスや誰でも簡単にウイルスが作れてしまうツールが、まるでECサイトのように取引されていて驚いた。こうした活動の活発化はサイバー攻撃の増加を意味する。
\ かんたん入力で登録完了 /
執筆=高橋 秀典
【TP】
最新セキュリティマネジメント
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
その対策は効果ナシ!セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。