オンライン相談
はじめに
今年もIPAから情報セキュリティ10大脅威が発表されました。2024年の内容を分かりやすくお伝えし、2024年で注目すべきポイントや過去3年間でどう変化しているのかについて解説します。本記事では、2024年に中小企業が気をつけるべき脅威をランキングにした「組織編」について詳しくご紹介します。
「情報セキュリティ10大脅威」とは、情報処理推進機構(以下、IPA)が2006年から発表している情報で、前年に発生した脅威のなかで社会的に大きな影響を与えたセキュリティリスクを「10大脅威選考会(情報セキュリティ研究者や情報システム実務担当者等で構成)」の投票を得て、上位10位を「10大脅威」としてランキング形式にまとめたものです。近年では、個人の立場と組織の立場それぞれの10大脅威を発表しています。
2024年の情報セキュリティ10大脅威の結果は以下になります。
情報セキュリティ10大脅威 2024 結果
2022年から2024年までの結果をまとめました。2024年で新たに登場した脅威はなく、2023年の結果と順位が一部入れ替わる形での内容となっています。
IPA「情報セキュリティ10大脅威」の情報を元に作成
2024年の10大脅威で着目すべきポイント
登場するキーワードは2023年と同様になっていますが、上記の表へ今年注目すべきキーワードを色付きにしました。
第1位「ランサムウェアによる被害」については、3年連続首位であり、引き続き脅威となっています。第3位「内部不正による情報漏えい等の被害」については、2022年は5位でしたが順位を上げており、今後更なる警戒が必要となることが見込まれます。第6位「不注意による情報漏えい等の被害」についても同様に、2022年では上位10位圏外でしたが2023年に第9位に浮上し順位を上げているため、2024年の警戒ポイントとなります。最後に第9位「テレワーク等のニューノーマルな働き方を狙った攻撃」についてですが、2021年の10大脅威で第3位に登場しましたが、コロナ渦の終息に向かい順位を下げ、2024年では第9位となっています。
これらを踏まえて、2024年に着目すべきポイントは、
- 最新のランサムウェアによる被害への懸念
- 内部不正や不注意など組織に関わる「人」による情報漏えい
- 多様な働き方を狙った攻撃は今後も継続
の3点です。以下から1つずつ解説します。
最新のランサムウェアによる被害への懸念
警察庁の報告によると、2023年に報告された「ランサムウェア攻撃による企業・団体への被害件数」は197件であり、2022年から高い水準で推移しています。
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より引用
さらに、このランサムウェア被害のほか、2023年から新たに観測された「ノーウェアランサム」という脅威による被害が30件確認されました。
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より引用
ノーウェアランサムとは、データの暗号化を行わずにデータを窃盗し、企業や団体へ身代金等の対価を要求する手口です。一般的なランサムウェアと異なりデータを暗号化する手間がないので、実行が容易になったとも言われています。
ノーウェアランサムへの対策としては、セキュリティ対策ソフトの導入やOSやアプリケーションのバージョンを最新に保ち、脆弱性を作らない(=マルウェアの侵入を許さない)環境を作ることが有効です。
内部不正や不注意など組織に関わる「人」による情報漏えい
人によるデータ持ち出しや盗難によるセキュリティリスクはこれまでも問題になっており、多様な働き方を狙った攻撃は今に限った話ではありませんが、近年TOP10入りが続いている「サプライチェーンの弱点を悪用した攻撃」についても、ターゲット企業と繋がりのある関連企業や取引先に先に攻撃を仕掛けてそれを踏み台にターゲット企業への攻撃を行うので、人の繋がりを悪用した攻撃であると言えます。「人」の不注意や認識の甘さが、重大なインシデントに繋がってしまうのです。
テレワークの導入や在宅勤務など多様な働き方が定着しつつある今、個人単位でのセキュリティ意識に緩みはないでしょうか。万全なセキュリティでない公共のWi-Fiを利用することで、顧客情報などの機密情報を抜き取られてしまう危険性もあります。端末の取り扱いルールやセキュリティガイドラインを見直し、明確にすることが求められています。
多様な働き方を狙った攻撃は今後も継続
多様な働き方は一過性のものではなく今後も継続し、更に普及していくと推測されます。テレワークの導入に合わせて見直しを行い、セキュリティ対策を強化した企業は多いと思いますが、従業員の働き方が目に見えない分、エンドポイントセキュリティは「不審なサイトやサービスへのアクセス」、「OSやアプリケーションの更新状態」、「会社に無許可で利用しているデバイスやSaaSサービス(=シャドーIT)」といった様々な側面から、多面的に強化していく必要があります。
過去3年間(2022年~2024年)での変化まとめ
ランサムウェアによる被害については3年連続で首位を維持し、依然として深刻な脅威となっています。特に2023年には新たにノーウェアランサムが観測され、セキュリティ対策の必要性が高まっている状況です。
その他に大きく目立つような新たな脅威の登場はありませんが、引き続きセキュリティリスクが高まっている状況なので、エンドポイントセキュリティを強化し万が一の脅威に備えることが大切です。
エンドポイントセキュリティの強化は「ISM Cloudone」で!
情報セキュリティ10大脅威 「組織」2024を詳しく解説
ここからは、それぞれの脅威について詳しく解説します。
IPA「情報セキュリティ10大脅威」2024
第1位:ランサムウェアによる被害
ランサムウェアは、コンピューターまたはネットワークを感染させ、データやシステムへのアクセスを制限し、復号化キーの提供と引き換えに身代金を要求する悪質なソフトウェアです。組織にとっては、業務の停止や機密情報の漏洩などの深刻な影響があります。
第2位:サプライチェーンの弱点を悪用した攻撃
サプライチェーン攻撃は、組織のサプライチェーンに関連するベンダーやサービスプロバイダーなどの弱点を悪用して、組織自体に攻撃を仕掛ける手法です。これにより、重要なシステムやデータが侵害される可能性があります。
第3位:内部不正による情報漏えい等の被害
従業員や内部関係者による不正行為によって、機密情報や重要なデータが漏洩する可能性があります。組織内のセキュリティポリシーの遵守やアクセス制御の強化が重要です。
第4位:標的型攻撃による機密情報の窃取
標的型攻撃は、特定の組織や個人を狙って行われる高度な攻撃です。攻撃者は、社内ネットワークに侵入し、機密情報や知的財産を窃取することを目的としています。
第5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ゼロデイ攻撃は、ソフトウェアの脆弱性が発見されて修正プログラムが公開される前に、その脆弱性を悪用して攻撃を行う手法です。組織は、脆弱性の早期発見と対処が重要です。
第6位:不注意による情報漏えい等の被害
従業員や関係者の不注意により、機密情報や個人情報が漏洩することがあります。教育やトレーニングを通じてセキュリティ意識を向上させることが必要です。
第7位:脆弱性対策情報の公開に伴う悪用増加
セキュリティベンダーや研究者が脆弱性情報を公開すると、攻撃者がそれを悪用して攻撃を行う可能性があります。組織は、迅速な脆弱性の修正やセキュリティパッチの適用が必要です。
第8位:ビジネスメール詐欺による金銭被害
ビジネスメール詐欺は、偽装された電子メールを使用して従業員や取引先に偽の指示を送り、金銭をだまし取る詐欺手法です。組織は、従業員のトレーニングや認証プロセスの強化が必要です。
第9位:テレワーク等のニューノーマルな働き方を狙った攻撃
テレワークやリモートワークが普及するにつれて、そのセキュリティリスクも増加しています。組織は、リモートアクセスのセキュリティを強化し、従業員にセキュリティポリシーを遵守させる必要があります。
第10位:犯罪のビジネス化(アンダーグラウンドサービス)
インターネット上で犯罪者がサービスを提供し、その対価として報酬を得る「犯罪のビジネス化」が進んでいます。組織は、サイバー犯罪に対する対策を強化し、犯罪者の活動を防ぐための取り組みが必要です。
これらの脅威に対する適切な対策と予防措置を講じることが、組織の情報セキュリティを確保する上で重要になります。
まとめ:「ISM Cloudone」でエンドポイントセキュリティを強化
今回は情報セキュリティ10大脅威 2024の内容を紐解き、「最新ランサムウェア」、「人を媒体とした情報漏えい」、「多様な働き方を狙うサイバー攻撃」という3つのポイントにまとめて解説しました。
「ISM Cloudone」は、これら3つの脅威へ備えるためのクラウド型のエンドポイントセキュリティサービスです。既存・未知のウィルスを防御する「ふるまい検知」機能や、OSのセキュリティパッチが更新されていない、ソフトウェアのバージョンが古く脆弱性のあるバージョンを使っている端末を検知する「自動脆弱性診断」機能等を搭載しております。製品資料や導入事例ほか各種お役立ち資料もご用意しておりますので、興味のある方はぜひこちらよりご覧ください。
