1.この記事の背景
セキュリティ分野を記事にしたかったので、オーソドックスなIPAから毎年発表されている10大脅威についてまとめてみることにしました。
2.IPAとは
情報処理試験の運営者としてなじみのある機関ですが、どう定義されるのでしょうか。
wikipediaによると、
独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称: IPA)は、日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人(中期目標管理法人)。所管官庁は経済産業省。
情報処理試験では「経済産業省が優れている」という選択肢を選ぶと正解するといううわさもあったりします。
ちなみに「セキュリティ」を身近に学んでもらうためか、中の人の趣味かはわかりませんが、だいたい二次元キャラで啓蒙活動が行われています。
IPAのトップページより(2022年12月17日現在)
3.セキュリティ10大脅威とは
IPAのサイトによると、
「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
毎年、8月下旬に発表されます。
2022年はこんな感じでした。
4.2022年のセキュリティ10大脅威(組織の部)
IPAのレポートを読みながら、「組織の部」について整理してみました。
| 名称 | 特徴 | 感染経路 | 予防策 | |
|---|---|---|---|---|
| 1 | ランサムウェア | データを暗号化し、復旧することと引き換えに金銭を要求する | ・メール(でクリック、添付ファイル開封) ・webサイトクリック ・ソフトウェア脆弱性を突く |
・CSIRT ・多要素認証 ・従業員教育(不明なURLはクリックしない)・バックアップの取得&復旧訓練・迅速なネットワーク分離 ・ソフトウェア脆弱性対応 |
| 2 | 標的型攻撃による機密情報の窃取 | 特定の組織を狙って機密情報を盗んだりして業務妨害する | ・CSIRT ・メール(でクリック、添付ファイル開封) ・webサイトクリック ・不正アクセスでシステムに侵入(認証情報を窃取し正規経路で) |
・従業員教育 ・ソフトウェア脆弱性対応 ・アクセス権最小化 |
| 3 | サプライチェーンの弱点を悪用した攻撃 | セキュリティ対策が強固な企業を直接攻撃せず、対策が弱いサプライチェーン上の企業を狙う | ・メール(でクリック、添付ファイル開封) ・webサイトクリック ・ソフトウェア脆弱性を突く |
・業務委託先にも情報管理のルール徹底 ・被害を受けた後の対応ルール化&周知徹底 |
| 4 | テレワーク等のニューノーマルな働き方を狙った攻撃 | テレワで使う/クラウドサービス/WEB会議サービス/VPN等を狙った攻撃 | ・ソフトウェアの脆弱性を突く ・自宅やモバイルwifiの脆弱性・私用端末の管理 |
・機器管理(バージョン含む)<br |
| 5 | 内部不正による情報漏洩 | 従業員/元従業員の機密情報持ち出し | ・アクセス権限悪用 ・内部情報不正持ち出し |
・従業員教育 ・アカウント管理 ・アクセスログ監視 ・不正/予兆検知 |
| 6 | 脆弱性対策情報の公開に伴う悪用増加 | 公開された脆弱性情報を利用し、未対応製品を攻撃 | ・Nデイ脆弱性を悪用 ・公開されている攻撃ツールを使用 |
・ネットワーク監視/攻撃通信遮断 ・一時的にサーバ停止 ・攻撃予兆検知(UTM,IDS/IPS,WAFなど) ・脆弱性収集と対応の徹底(予算確保) |
| 7 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | ソフトウェアの脆弱性対応パッチの公開前に攻撃 | ソフトウェア、ハードウェアの脆弱性 | ・ネットワーク監視/攻撃通信遮断 ・セキュリティのサポートが充実しているソフトウェアやバージョンを使う。 ・回避策/緩和策を迅速に講じる ・攻撃予兆検知(UTM,IDS/IPS,WAFなど) ・脆弱性収集と対応の徹底(予算確保) |
| 8 | ビジネスメール詐欺による金銭被害 | 巧妙な騙しの手口を駆使したメールを送りつけ、従業員を騙し誤って送金させる(なりすましなど) | ・メール | ・メールに依存しない業務フロー構築 ・メールに電子署名付与(S/MIMEやPGP) ・電話など複数経路で事実確認・従業員教育(メールの差出人ドメインの確認、普段と異なる表現) |
| 9 | 予期せぬIT基盤の障害に伴う業務停止 | クラウドサービス停止により業務が止まることで、サービス提供ができなくなる(医療など) | (発生要因として) ・自然災害 ・作業事故 ・設備障害 ・システム障害(ネットワーク輻輳など) |
・予備システムの用意(DRサイト) ・被害訓練 |
| 10 | 不注意による情報漏洩等の被害 | 本人の不注意による行動で情報漏洩が発生しさらに悪用される(PC置き忘れ、メール誤送信) | (発生要因として) ・本人が何らかの要因で注意力低下 ・意識低下 |
・従業員教育 ・持ち出し禁止ルール |
全体を通して「必要な対策」とは、今年に限ったものではなく、
・CSERTのような組織を確立する
・従業員教育
・被害を受けた後の行動確認、被害を最小に防ぐ策をあらかじめ講じる
・日頃の脆弱性情報収集と対応の徹底
あたりかなと思います。
これまでセキュリティ対策の投資は景気に左右されがちでしたが、コンプライアンスの重要性が増している今、本腰を入れる企業も多いのではないでしょうか。