はじめに
企業には個人情報や機密情報など多くの情報資産が保管されています。これらの情報が流出すると、取引先や顧客からの信用失墜、売上が下がるなどのリスクもあります。
新型コロナウイルス感染症の流行でテレワークが増え、セキュリティ対策不足の企業を狙った外部脅威が多発するなか、企業はこれまで以上に情報セキュリティに対する意識を高めていかなければなりません。
本記事では新たな情報セキュリティ脅威と、その対策・対応方法について解説していきます。
情報セキュリティ10大脅威とは?
情報セキュリティ10大脅威とは、経済産業省が所管するIPA(独立行政法人情報処理推進機構)が情報セキュリティにおける脅威をランキング形式でまとめた資料です。
「組織編」「個人編」の2編に分け、それぞれの立場ごとの脅威について、被害状況や動向、対策などの最新情報を毎年まとめています。新たな脅威による被害を防ぐためにも、この資料を参考にしながら攻撃の手口、対策方法を注視していくのが効果的です。
新たな情報セキュリティ脅威
以下の表は、2020年から2022年に発表された組織における情報セキュリティ10大脅威のランキングです。3年分の表をみると、2020年には標準型攻撃がトップ、2021年と2022年には順位が変動し、ランサムウェアと標準型攻撃が2年連続、1位・2位とランクインしているのが分かります。
また2021年と2022年には新たに、テレワーク等のニューノーマルな働き方を狙った攻撃、修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)が追加されました。こうした新たな脅威が出現した背景には、コロナ禍を経てテレワークが増えたことによる職場環境の変化があります。
| 情報セキュリティ10大脅威【組織編】 | |||
|---|---|---|---|
| 2020年 | 2021年 | 2022年 | |
| 1位 | 標的型攻撃による機密情報の窃取 | ランサムウェアによる被害 | ランサムウェアによる被害 |
| 2位 | 内部不正による情報漏えい | 標的型攻撃による機密情報の窃取 | 標的型攻撃による機密情報の窃取 |
| 3位 | ビジネスメール詐欺による金銭被害 | テレワーク等のニューノーマルな働き方を狙った攻撃 | サプライチェーンの弱点を悪用した攻撃 |
| 4位 | サプライチェーンの弱点を悪用した攻撃 | サプライチェーンの弱点を悪用した攻撃 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5位 | ランサムウェアによる被害 | ビジネスメール詐欺による金銭被害 | 内部不正による情報漏えい |
| 6位 | 予期せぬIT基盤の障害に伴う業務停止 | 内部不正による情報漏えい | 脆弱性対策情報の公開に伴う悪用増加 |
| 7位 | 不注意による情報漏えい(規則は遵守) | 予期せぬIT基盤の障害に伴う業務停止 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8位 | インターネット上のサービスからの個人情報の窃取 | インターネット上のサービスへの不正ログイン | ビジネスメール詐欺による金銭被害 |
| 9位 | IoT機器の不正利用 | 不注意による情報漏えい等の被害 | 予期せぬ IT 基盤の障害に伴う業務停止 |
| 10位 | サービス妨害攻撃によるサービスの停止 | 脆弱性対策情報の公開に伴う悪用増加 | 不注意による情報漏えい等の被害 |
出典元:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2020、2021、2022」を基に作成
次に、新たな脅威の特徴や事例について解説していきます。
テレワーク等のニューノーマルな働き方を狙った攻撃
オフィス以外での勤務も珍しくなくなり、このニューノーマルな働き方を狙った攻撃も多様化しています。
例えば、VPN機器の脆弱性を突いたものや、自宅のインターネット回線(IoT機器)への不正アクセスを狙うケースもあります。また企業から貸与されたものではなく、私物の端末を業務に使用した場合、端末の脆弱性を狙ったマルウェアに感染し、データ破壊や個人情報・機密情報の抜き取りが行われるケースもあります。
こうした攻撃が増えた背景には、新型コロナウイルス感染症の流行やICT(情報通信技術)の発展により業務環境が急激に変化したことが挙げられます。自宅やオフィス外などの遠隔地から安全に社内ネットワークへアクセスし業務を安定させるためには、社員一人ひとりへのセキュリティ教育や、テレワーク時のセキュリティに関するルールの徹底が必要です。
修正プログラムの公開前を狙う攻撃
OSやアプリケーションは、バグが発生することがあります。バグを直すためには、開発元から公開される修正プログラムを適用する必要がありますが、バグの発見から適用まで少なからず時間を要します。その無防備な時間を狙い、攻撃を行うことをゼロデイ攻撃と呼びます。
ゼロデイ攻撃は他の脅威と比べ、社内のセキュリティ担当や情報システム部門で対策を練りにくいことや、開発ベンダしか対策できないといった面もあります。そのため、攻撃にあっても気づくのに時間がかかってしまい、被害が拡大しやすいのが特徴です。
事例からみるVPNへのゼロデイ攻撃
実際に、VPNへのゼロデイ攻撃が行われた事例もあります。
2021年、アメリカのセキュリティベンダが提供するVPNの脆弱性を悪用したゼロデイ攻撃が発生しました。この製品には認証をバイパス(認証機能を回避)する脆弱性が存在することが発覚。修正プログラムが公開されるまでの間、利用者へ暫定的な回避策を行うことや、該当製品の一時利用停止を呼びかけることになりました。
上の事例のようにゼロデイ攻撃を受けてしまうと、修正プログラムが公開されるまでの間にどんどん被害は拡大していきます。そのためにも迅速に対策、対応するのが重要です。
新しい脅威への対策・対応方法
ランサムウェアによる被害や標準型攻撃などセキュリティの脅威は多数ありますが、基本的な対策が重要という点に違いはありません。
「ソフトウェアの更新」、「セキュリティソフトの導入」、「パスワードの管理や認証の強化」、「セキュリティシステム設定の見直し」、「脅威や手口に関する情報収集」、といった基礎対策は必ず行うようにしましょう。加えて、新たな脅威への対策・対応には次の4つのポイントも意識する必要があります。
クラウド化に対応した情報セキュリティの構築
テレワークや出張、移動中のモバイル環境から、社内ネットワークへのアクセスが増加傾向にあります。そのためVPNやVDIなど、クラウド化に対応したセキュリティ構築が必要です。
またセキュリティ構築を行うだけでなく、システムやVPN、アプリケーションなどを安全に使用するため、インシデントが発生した時に誰が対応するか、責任範囲の明瞭化や代替案の準備、設定の見直しが行えるよう準備しておきましょう。
社員の情報セキュリティ教育
強力な情報セキュリティを構築しても、人為的なミスが原因で新たな脅威から攻撃を受けるケースも珍しくありません。
テレワークや出張、移動中のモバイル環境からアクセスして作業を行うことも増えたため、全社員に対し、テレワーク特有の情報セキュリティ教育も必要になっています。定期的な勉強会やマニュアルなどを用意し、社員のセキュリティに対する意識を高めていきましょう。
攻撃予兆や被害の早期検知
脅威の攻撃の手口は、日々高度かつ複雑になっています。新たな脅威による攻撃を防ぐためには、使用しているシステムやアプリケーションの脆弱性の最新情報を入手しましょう。ニューノーマルな働き方を狙った攻撃やゼロデイ攻撃などのターゲットにされた場合、攻撃予兆や被害の早期検知が重要になります。そのためには、セキュリティ監視の専門家で構成されるSOC(セキュリティ・オペレーション・センター)を導入し、監視体制の強化を図るといった対策も重要です。
SOCについての詳しい記事はこちら
SOCを強化し、サイバー攻撃に備えた組織作りを! をご覧ください。
緊急時対応の迅速化のための計画準備
セキュリティ強化をどれだけ行っても、ゼロデイ攻撃のように対応が難しい攻撃を受ける可能性はあります。それらを想定したうえで、事前に緊急時対応の計画を準備しておきましょう。
例えば、攻撃を受けた時にどこに相談をするか、データのバックアップはどうするかなどが挙げられます。新しい攻撃の手口に合わせた計画準備をしっかりしておけば、想定外のケースでも迅速に対応ができます。
まとめ
脅威による攻撃の手口は、日々巧妙化していきます。大切な情報資産を守るためには、継続的にセキュリティ情報の収集を行い、最適な対策を講じる必要があります。しかし企業によっては、新たな情報セキュリティの構築や、社員への情報セキュリティ教育にまで手が回らないというケースもあるでしょう。
情報セキュリティの構築や一部の業務などは、外部の専門家へ委託も可能ですが、その際には企業選びも重要になります。
セラクでは専門性を持つセキュリティ技術者が、SOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固にお守りします。システムにより必要なセキュリティ対策の種類・レベルは異なり、セラクではお客様の状況に合わせたサービスを提供することができます。
お客様のセキュリティ対策は、多種多様なシステムの運用実績を持つセラクにお任せください。
