IPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」発表

2020年はテレワークが一気に広まり、社外での情報セキュリティ対策は悩ましい問題だろうと気にはなっていましたが、セキュリティ意識が高くはない社内では話題にしたくないまま時が過ぎていました。

2021年1月27日、IPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」発表されました。

2021年2月26日、「情報セキュリティ10大脅威 2021」解説書が公開されました。以下のページからPDF版をダウンロードできます。PDFで60ページありますがイラストも多く読みやすそうです。

情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

ひとまず、情報セキュリティについては、早く知ることも対策になると考えていますので、IPAのプレスリリースから個人と組織の情報セキュリティの脅威について説明します。

分かりやすさを優先しています。私の理解した内容なので、正確ではない表現もあるかと思いますのでご了承ください。
スポンサーリンク

「情報セキュリティ10大脅威 2021」とは

IPA(情報処理推進機構)から「情報セキュリティ10大脅威 2021」のプレスリリースのリンク先は次の通りです。

以下のプレスリリースについて説明します。

情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

「情報セキュリティ10大脅威 2021」とは、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けしたものです。

なお、「情報セキュリティ10大脅威 2021」は、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

情報セキュリティ10大脅威の公表について

IPAは、情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。

はかせ
はかせ

10年以上続いている活動です。

IPAからは中小企業向けの情報セキュリティ対策についても様々な情報提供がされています。

情報セキュリティのルール作りで利用させて頂きました。

情報セキュリティハンドブック
情報セキュリティのルール作りのために、情報セキュリティの網をかけるならISMS(ISO27000シリーズ)と考え作ったものの自分で見ても難しい。IPAの中小企業の情報セキュリティガイドラインを利用して新たに作成することにしました。
スポンサーリンク

IPA「情報セキュリティ10大脅威 2021」:個人

「個人」と「組織(会社)」の立場でランキングされています。

なお、IPAのWebサイトでは個人と組織のランキングを並べた表になっていますが、個人と組織とでは情報セキュリティ対策にしても立場も違えばやることも異なりますので、個人と組織に分けています。

情報セキュリティ10大脅威2021:個人

個人の情報セキュリティ10大脅威の順位は、下表の通りです。

表1 情報セキュリティ10大脅威2021:個人

順位脅威昨年順位
スマホ決済の不正利用
フィッシングによる個人情報等の詐取
ネット上の誹謗・中傷・デマ
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
クレジットカード情報の不正利用
インターネットバンキングの不正利用
インターネット上のサービスからの個人情報の窃取10
偽警告によるインターネット詐欺
不正アプリによるスマートフォン利用者への被害
10インターネット上のサービスへの不正ログイン

個人の情報セキュリティ10大脅威の補足説明

個人の脅威の第1位:スマホ決済の不正利用

個人の脅威の第1位は、「スマホ決済の不正利用」です。

  • スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ(他人の口座からの金銭窃取)する事案などが引き続き発生しています。
はかせ
はかせ

簡単に言うと、知らないうちに自分の口座から知らない他人の口座に送金さrてしまうということです。

対策として、スマホ決済サービスを利用する場合には、

  • 二要素認証を利用するなどの不正ログイン対策の実施
  • 被害を受けた際に早期に気付くことができるように、スマホ決済サービスの利用状況を確認することが重要です。
はかせ
はかせ

決済サービスの利用頻度にもよりますが、慣れてしまってはせっかくの対策の効果も弱まってしまうので、心がけから習慣へとしていうことが必要だと考えています。

スマホがこれだけ普及していると、否が応でもリスクに対する対策は必要になってくると考えています。

なお、スマホ決済サービスを使っていない場合でも被害にあう場合があります。

スマホ決済サービスを使っていない場合でも、次の様な注意が必要です。

  • スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要です。
はかせ
はかせ

出金があった場合メールなどの通知がくるようにしておくのも対策の1つだと思ってやっています。

インターネット利用やSNS利用における脅威

お金に関してはスマホ決済サービスの不正利用が最も大きな脅威ですが、スマホやSNSが広範囲で使われている現在、個人情報についても注意が必要です。

個人情報といってもその意味するところは広く、個人の情報リテラシーや考え方もあ様々なので、ここでは詳しく触れません。

インターネットやSNSを使って公開した情報は、例え匿名であっても個人が特定されてしまうから注意が必要です。」と述べるに留めます。

はかせ
はかせ

インターネットやSNSに公開された情報、それを完全に削除することは現実的にとても難しいことは、自分にも言い聞かせるようにしています。

社長
社長

注意しようと思うけれど、何に注意すればいいのですか?

意外に答えるのが難しい問題です。

対策を1つ1つ上げていっても結構な数になるでしょうし、継続性を考えるとさらに効果が期待できなくなるように思っています。

基本的な考え方は、

  • 「Need to Knowの原則」で、インターネットやSNSを使う場合には個人情報を含めて利用する。
クラウド時代のNeed to Know~情報セキュリティ初めの一歩
情報システムの経験から情報セキュリティの考えをまとめました。Need to Knowが存在しない世界、さてどうやって情報セキュリティルールを作ろうか、ルール作り後日談、Need to Know番外編について説明しています。

ことだと考えています。

個人の情報リテラシーを高めていく、普段の心がけや教育が必要だと考えています。

また、ISMSやプライバシーマークを取得すれば情報セキュリティ対策は万全ということはありません。

最終的には個人の情報リテラシーに期待する部分と、会社としてゆずれない部分については、情報流出対策を例にすれば、悪意を持ってやらなければ持ち出せないようにするといった対策を取る必要がある、そういう時代になっていると考えています。

とは言っても、これから情報セキュリティ対策を始めるのであれば、以下の事項から取り組むのも1つのやり方だと考えています。

始めは、前述の「Need to Knowの原則」やクリアデスク・クリアスクリーン、SNSやインターネット利用と個人情報などから始めることになると考えています。

クラウド時代のNeed to Know~情報セキュリティ初めの一歩
情報システムの経験から情報セキュリティの考えをまとめました。Need to Knowが存在しない世界、さてどうやって情報セキュリティルールを作ろうか、ルール作り後日談、Need to Know番外編について説明しています。
情報セキュリティも3Sから:クリアスクリーンとクリアデスク
3Sは品質マネジメントだけでなくISMSについても有効な手段です。情報セキュリティを高める手段として、クリアデスク、クリアスクリーンは、整理・整頓・清掃と並行して進めるとよいと考えています。
繰り返されるSNSへの不適切な投稿について思う
不適切な行動をSNSに投稿してしまった不祥事を知るたびに、マネジメントにおけるビジョンは大切だとの思いに至ります。SNSは個人のプライバシーにも大きく影響があることに気付いていない社員へのセキュリティ教育について考えてみました。
スポンサーリンク

IPA「情報セキュリティ10大脅威 2021」:組織(会社)

「個人」と「組織(会社)」の立場でランキングされています。

なお、IPAのWebサイトでは個人と組織のランキングを並べた表になっていますが、個人と組織とでは情報セキュリティ対策にしても立場も違えばやることも異なりますので、個人と組織に分けています。

情報セキュリティ10大脅威2021:組織(会社)

組織の情報セキュリティ10大脅威の順位は、下表の通りです。

表2 情報セキュリティ10大脅威2021:組織(会社)

順位脅威昨年順位
ランサムウェアによる被害
標的型攻撃による機密情報の窃取
テレワーク等のニューノーマルな働き方を狙った攻撃NEW
サプライチェーンの弱点を悪用した攻撃
ビジネスメール詐欺による金銭被害
内部不正による情報漏えい
予期せぬIT基盤の障害に伴う業務停止
インターネット上のサービスへの不正ログイン16
不注意による情報漏えい等の被害
10脆弱性対策情報の公開に伴う悪用増加14

組織(会社)の情報セキュリティ10大脅威2021の補足説明

組織の脅威の第1位は、「ランサムウェアによる被害」です。

はかせ
はかせ

ランサムウェアによる被害とは、外部からの情報セキュリティに関する攻撃のことです。

機密情報の入手、ホームページの改ざん、ウィルスメールによるデータ破壊など攻撃手段と被害内容も様々です。

以下、ランサムウェアによる被害について説明します。

ランサムウェアを用いた新たな攻撃の手口

2020年8月、IPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行いました。

インターネット セキュリティ ナレッジ
独立行政法人情報処理推進機構(IPA)は8月20日、「事業継続を脅かす新たなランサムウェア攻撃について」と題する情報を公開し、あらためて注意を呼びかけました。近年深刻化している「人手による攻撃」と「二重の脅迫」の2つの要素を採り入れたランサムウェア攻撃について、レポートを公開しています。
はかせ
はかせ

ランサムウェアについても上記のリンク先に説明がありますのでご参照ください。

これまで、ウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めるようになってきています。

標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。2020年は国内企業への攻撃も報道され、大きな話題となりました。

新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、次の様な基本的な対策を確実かつ多層的に適用し運用することが重要です。

  • ウイルス対策
  • 不正アクセス対策
  • 脆弱性対策
はかせ
はかせ

組織(会社)で行う対策と、個人で行う対策もあるので、情報セキュリティの担当部署だけでなく、全ての社員そして仕事上関りのある会社の方も含めた対策の実施が必要となってきます。

はかせ
はかせ

攻撃は守りの隙をついてきます。普段の守りが重要となるため、できる対策を確実に継続することが重要です。

ISO9000の継続的改善にも通じることがありそうです。

テレワーク等のニューノーマルな働き方を狙った攻撃

組織の脅威に初登場で第3位は、「テレワーク等のニューノーマルな働き方を狙った攻撃」です。

はかせ
はかせ

モバイルワークの方が知られていると思いますが、テレワークと聞くと在宅勤務のイメージを私は強く感じます。

2020年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されました。

テレワークを導入することで次の様なことが増えています。

  • 自宅などからVPN経由で社内システムにアクセスする。
  • Web会議サービスを利用する。

また、これまでは緊急時に限定してきた次の様なことを平常時に使う必要性がでてきています。

  • 私物PCや自宅ネットワークの利用
  • 初めて使うソフトウェアの導入

こうした業務環境の急激な変化を狙った攻撃が懸念されています。

基本的な対策意外に、次の様なことに取り組み充実させていくことが重要になっています。

  • テレワークの規定や運用ルールの整備
  • セキュリティ教育の実施
はかせ
はかせ

中小企業では、一人情シスも少なくないと思われますが、経営層の積極的なサポートと、管理職はもちろんのこと全社員による取り組みが必要になっています。

まとめ

スマホやクラウドサービスが個人でも使われるようになっている現在、情報セキュリティ対策は広範囲でしかも個人の情報リテラシーにも大きな影響を受けるため、情報システムの担当者にとっては悩ましい問題となっています。

また、情報リテラシーの面では、社内情報の取り扱い、管理職の情報の取り扱いなど、経営層にとって悩ましい問題となっています。

ここでは、IPAから発表された「情報セキュリティ10大脅威 2021」について、以下の項目で説明しました。

  • 「情報セキュリティ10大脅威 2021」とは
    • 情報セキュリティ10大脅威の公表について
  • IPA「情報セキュリティ10大脅威 2021」:個人
    • 情報セキュリティ10大脅威2021:個人
    • 個人の情報セキュリティ10大脅威の補足説明
      • 個人の脅威の第1位:スマホ決済の不正利用
      • インターネット利用やSNS利用における脅威
  • IPA「情報セキュリティ10大脅威 2021」:組織(会社)
    • 情報セキュリティ10大脅威2021:組織(会社)
    • 組織(会社)の情報セキュリティ10大脅威2021の補足説明
      • ランサムウェアを用いた新たな攻撃の手口
      • テレワーク等のニューノーマルな働き方を狙った攻撃
タイトルとURLをコピーしました