2020年はテレワークが一気に広まり、社外での情報セキュリティ対策は悩ましい問題だろうと気にはなっていましたが、セキュリティ意識が高くはない社内では話題にしたくないまま時が過ぎていました。
2021年1月27日、IPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」発表されました。
2021年2月26日、「情報セキュリティ10大脅威 2021」解説書が公開されました。以下のページからPDF版をダウンロードできます。PDFで60ページありますがイラストも多く読みやすそうです。
ひとまず、情報セキュリティについては、早く知ることも対策になると考えていますので、IPAのプレスリリースから個人と組織の情報セキュリティの脅威について説明します。
「情報セキュリティ10大脅威 2021」とは
IPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」のプレスリリースのリンク先は次の通りです。
以下のプレスリリースについて説明します。
「情報セキュリティ10大脅威 2021」とは、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けしたものです。
なお、「情報セキュリティ10大脅威 2021」は、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。
情報セキュリティ10大脅威の公表について
IPAは、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。
10年以上続いている活動です。
IPAからは中小企業向けの情報セキュリティ対策についても様々な情報提供がされています。
情報セキュリティのルール作りで利用させて頂きました。
IPA「情報セキュリティ10大脅威 2021」:個人
「個人」と「組織(会社)」の立場でランキングされています。
なお、IPAのWebサイトでは個人と組織のランキングを並べた表になっていますが、個人と組織とでは情報セキュリティ対策にしても立場も違えばやることも異なりますので、個人と組織に分けています。
情報セキュリティ10大脅威2021:個人
個人の情報セキュリティ10大脅威の順位は、下表の通りです。
表1 情報セキュリティ10大脅威2021:個人
| 順位 | 脅威 | 昨年順位 |
|---|---|---|
| 1 | スマホ決済の不正利用 | 1 |
| 2 | フィッシングによる個人情報等の詐取 | 2 |
| 3 | ネット上の誹謗・中傷・デマ | 7 |
| 4 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 5 |
| 5 | クレジットカード情報の不正利用 | 3 |
| 6 | インターネットバンキングの不正利用 | 4 |
| 7 | インターネット上のサービスからの個人情報の窃取 | 10 |
| 8 | 偽警告によるインターネット詐欺 | 9 |
| 9 | 不正アプリによるスマートフォン利用者への被害 | 6 |
| 10 | インターネット上のサービスへの不正ログイン | 8 |
個人の情報セキュリティ10大脅威の補足説明
個人の脅威の第1位:スマホ決済の不正利用
個人の脅威の第1位は、「スマホ決済の不正利用」です。
- スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ(他人の口座からの金銭窃取)する事案などが引き続き発生しています。
簡単に言うと、知らないうちに自分の口座から知らない他人の口座に送金さrてしまうということです。
対策として、スマホ決済サービスを利用する場合には、
- 二要素認証を利用するなどの不正ログイン対策の実施
- 被害を受けた際に早期に気付くことができるように、スマホ決済サービスの利用状況を確認することが重要です。
決済サービスの利用頻度にもよりますが、慣れてしまってはせっかくの対策の効果も弱まってしまうので、心がけから習慣へとしていうことが必要だと考えています。
スマホがこれだけ普及していると、否が応でもリスクに対する対策は必要になってくると考えています。
なお、スマホ決済サービスを使っていない場合でも被害にあう場合があります。
スマホ決済サービスを使っていない場合でも、次の様な注意が必要です。
- スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要です。
出金があった場合メールなどの通知がくるようにしておくのも対策の1つだと思ってやっています。
インターネット利用やSNS利用における脅威
お金に関してはスマホ決済サービスの不正利用が最も大きな脅威ですが、スマホやSNSが広範囲で使われている現在、個人情報についても注意が必要です。
個人情報といってもその意味するところは広く、個人の情報リテラシーや考え方もあ様々なので、ここでは詳しく触れません。
「インターネットやSNSを使って公開した情報は、例え匿名であっても個人が特定されてしまうから注意が必要です。」と述べるに留めます。
インターネットやSNSに公開された情報、それを完全に削除することは現実的にとても難しいことは、自分にも言い聞かせるようにしています。
注意しようと思うけれど、何に注意すればいいのですか?
意外に答えるのが難しい問題です。
対策を1つ1つ上げていっても結構な数になるでしょうし、継続性を考えるとさらに効果が期待できなくなるように思っています。
基本的な考え方は、
- 「Need to Knowの原則」で、インターネットやSNSを使う場合には個人情報を含めて利用する。
ことだと考えています。
個人の情報リテラシーを高めていく、普段の心がけや教育が必要だと考えています。
また、ISMSやプライバシーマークを取得すれば情報セキュリティ対策は万全ということはありません。
最終的には個人の情報リテラシーに期待する部分と、会社としてゆずれない部分については、情報流出対策を例にすれば、悪意を持ってやらなければ持ち出せないようにするといった対策を取る必要がある、そういう時代になっていると考えています。
とは言っても、これから情報セキュリティ対策を始めるのであれば、以下の事項から取り組むのも1つのやり方だと考えています。
始めは、前述の「Need to Knowの原則」やクリアデスク・クリアスクリーン、SNSやインターネット利用と個人情報などから始めることになると考えています。
IPA「情報セキュリティ10大脅威 2021」:組織(会社)
「個人」と「組織(会社)」の立場でランキングされています。
なお、IPAのWebサイトでは個人と組織のランキングを並べた表になっていますが、個人と組織とでは情報セキュリティ対策にしても立場も違えばやることも異なりますので、個人と組織に分けています。
情報セキュリティ10大脅威2021:組織(会社)
組織の情報セキュリティ10大脅威の順位は、下表の通りです。
表2 情報セキュリティ10大脅威2021:組織(会社)
| 順位 | 脅威 | 昨年順位 |
|---|---|---|
| 1 | ランサムウェアによる被害 | 5 |
| 2 | 標的型攻撃による機密情報の窃取 | 1 |
| 3 | テレワーク等のニューノーマルな働き方を狙った攻撃 | NEW |
| 4 | サプライチェーンの弱点を悪用した攻撃 | 4 |
| 5 | ビジネスメール詐欺による金銭被害 | 3 |
| 6 | 内部不正による情報漏えい | 2 |
| 7 | 予期せぬIT基盤の障害に伴う業務停止 | 6 |
| 8 | インターネット上のサービスへの不正ログイン | 16 |
| 9 | 不注意による情報漏えい等の被害 | 7 |
| 10 | 脆弱性対策情報の公開に伴う悪用増加 | 14 |
組織(会社)の情報セキュリティ10大脅威2021の補足説明
組織の脅威の第1位は、「ランサムウェアによる被害」です。
ランサムウェアによる被害とは、外部からの情報セキュリティに関する攻撃のことです。
機密情報の入手、ホームページの改ざん、ウィルスメールによるデータ破壊など攻撃手段と被害内容も様々です。
以下、ランサムウェアによる被害について説明します。
ランサムウェアを用いた新たな攻撃の手口
2020年8月、IPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行いました。
ランサムウェアについても上記のリンク先に説明がありますのでご参照ください。
これまで、ウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めるようになってきています。
標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。2020年は国内企業への攻撃も報道され、大きな話題となりました。
新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、次の様な基本的な対策を確実かつ多層的に適用し運用することが重要です。
- ウイルス対策
- 不正アクセス対策
- 脆弱性対策
組織(会社)で行う対策と、個人で行う対策もあるので、情報セキュリティの担当部署だけでなく、全ての社員そして仕事上関りのある会社の方も含めた対策の実施が必要となってきます。
攻撃は守りの隙をついてきます。普段の守りが重要となるため、できる対策を確実に継続することが重要です。
ISO9000の継続的改善にも通じることがありそうです。
テレワーク等のニューノーマルな働き方を狙った攻撃
組織の脅威に初登場で第3位は、「テレワーク等のニューノーマルな働き方を狙った攻撃」です。
モバイルワークの方が知られていると思いますが、テレワークと聞くと在宅勤務のイメージを私は強く感じます。
2020年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されました。
テレワークを導入することで次の様なことが増えています。
- 自宅などからVPN経由で社内システムにアクセスする。
- Web会議サービスを利用する。
また、これまでは緊急時に限定してきた次の様なことを平常時に使う必要性がでてきています。
- 私物PCや自宅ネットワークの利用
- 初めて使うソフトウェアの導入
こうした業務環境の急激な変化を狙った攻撃が懸念されています。
基本的な対策意外に、次の様なことに取り組み充実させていくことが重要になっています。
- テレワークの規定や運用ルールの整備
- セキュリティ教育の実施
中小企業では、一人情シスも少なくないと思われますが、経営層の積極的なサポートと、管理職はもちろんのこと全社員による取り組みが必要になっています。
まとめ
スマホやクラウドサービスが個人でも使われるようになっている現在、情報セキュリティ対策は広範囲でしかも個人の情報リテラシーにも大きな影響を受けるため、情報システムの担当者にとっては悩ましい問題となっています。
また、情報リテラシーの面では、社内情報の取り扱い、管理職の情報の取り扱いなど、経営層にとって悩ましい問題となっています。
ここでは、IPAから発表された「情報セキュリティ10大脅威 2021」について、以下の項目で説明しました。
- 「情報セキュリティ10大脅威 2021」とは
- 情報セキュリティ10大脅威の公表について
- IPA「情報セキュリティ10大脅威 2021」:個人
- 情報セキュリティ10大脅威2021:個人
- 個人の情報セキュリティ10大脅威の補足説明
- 個人の脅威の第1位:スマホ決済の不正利用
- インターネット利用やSNS利用における脅威
- IPA「情報セキュリティ10大脅威 2021」:組織(会社)
- 情報セキュリティ10大脅威2021:組織(会社)
- 組織(会社)の情報セキュリティ10大脅威2021の補足説明
- ランサムウェアを用いた新たな攻撃の手口
- テレワーク等のニューノーマルな働き方を狙った攻撃
