JP
そもそも、情報セキュリティ10大脅威とは?
IPA(独立行政法人情報処理推進機構)では毎年、社会的に影響が大きいとされるセキュリティ脅威のレポートをリリースしており、今回は2023年1月に発表された「情報セキュリティ10大脅威2023」より、組織編、いわゆるビジネスシーンにフォーカスして企業が知っておくべき最新の傾向と対策のポイントを解説します。
「組織」における情報セキュリティ10大脅威2023
※1:「ランサムウェア」PCやサーバーなどのデータを暗号化して身代金を要求する攻撃
※2:「標的型攻撃」機密情報の窃取や業務妨害を目的として組織を狙う攻撃
※3:「ゼロデイ攻撃」ソフトウェアの脆弱性が判明し、修正プログラム(パッチ)や回避策がベンダーから提供される前にサイバー攻撃を仕掛ける攻撃
※4:「脆弱性対策情報の公開に伴う悪用」べンダーなどの脆弱性対策情報の公開後、脆弱性対策を遅れたシステムを狙う攻撃
トップ3は、1位に「ランサムウェアによる被害」、2位「サプライチェーンの弱点を悪用した攻撃」、3位「標的型攻撃による機密情報の窃取」がランクインしており、昨年から大きな変化はありません。ランサムウェア、標的型攻撃は、メール、ウェブサイト、社内システムなど幅広い攻撃手口を持っているのが特長です。サプライチェーンの弱点を悪用した攻撃は、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティ対策が甘い取引先などを標的とします。これらは、いずれもIT環境のアタックサーフェス(脆弱性)を突く脅威となるため、企業単体のみならず、被害が取引先、顧客などに及ぶ前に、充分な対策を講じておく必要があります。
4位の「内部不正による情報漏洩」は、組織に勤務する従業員や元従業員等の組織関係者による、機密情報の持ち出しや悪用といった不正行為です。組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏洩につながるケースもあります。社会的信用の失墜、損害賠償による経済的な損失といった被害が発生する前に、従業員の情報リテラシー、モラル教育を含めた情報漏洩を防ぐ強固な体制づくりが必要になります。
5位「ニューノーマルな働き方を狙った攻撃」は、新型コロナ感染症に伴い急増したテレワーク、ハイブリッドワークといった働き方の変化により、2021年に初登場し、3年連続で上位にランクインしている脅威です。オフィスとは異なり効果的なセキュリティ対策が打てない、端末やソフトウェアのパッチなどが管理できない脆弱性を突かれ、社内ネットワークにウイルス感染を拡大させた事例もあります。テレワーク環境における端末やソフトウェアを把握した上での管理に加えて、従業員の情報リテラシー、モラル教育が重要になります。
6位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」、8位「脆弱性対策情報の公開に伴う悪用増加」は、いずれも攻撃の予兆・被害を早期に検知し、迅速かつ的確な対策が必要になります。一方、全社で一斉に対応を行う必要があるため、セキュリティ担当者が少ない、あるいは不在の場合には対処が後手に回り、被害に遭うケースもあるため打開策を考える必要もあるでしょう。
他にもさまざまな脅威が挙げられていますが、いずれも基本的な対策は同じです。ごく簡単な対策でこれらの脅威を未然に防ぐ方法がありますので、続けて解説します。
すぐに始めたい情報セキュリティの基本対策
IPAでは組織に向けた情報セキュリティの基本対策を推奨しています。ソフトウェアの脆弱性を解消し、攻撃によるリスクを低減する「ソフトウェアの更新」、多様な手口のウイルスをブロックする「セキュリティソフトの利用」、パスワードの窃取による情報漏洩を防ぐ「パスワード管理・認証の強化」、設定の不備を狙われる不備を防ぐ「設定の見直し」、重要視すべき対策に向けた「脅威・手口を知る」の5つです。きわめてシンプルですが、これだけでも被害に遭うリスクは格段に抑えることができるでしょう。
さらに1歩踏み込んで、複数の脅威に有効な対策をIPAでは推奨しています。
複数の脅威に有効な対策集
以下に、とくに重視したい対策を解説します。
情報リテラシー、モラルを向上させる
IT機器を利用する従業員の情報リテラシー、モラルの向上を目的とした教育も欠かせません。情報漏洩による被害、セキュリティ対策の重要性を理解させることで従業員が危機感を持ち、自発的に対策するようになります。簡単なことでも知っていて当然と思わず、繰り返し確認しながら業務を進めましょう。
メールの添付ファイル、URLを開かない
ランサムウェア、標的型攻撃などはメール経由で感染、被害が発生します。心当たりのないメールは開封しない、添付ファイルやURLを開かない対策に加え、PPAP(メールでパスワード付きZIPファイルを送り、別メールでパスワードを送るファイル共有方法)の撤廃、メール無害化の取り組みといった対策が有効になります。
IT環境に適切なセキュリティ対策を行う
サポート切れのOSやソフトウェア、ハードウェアを使用せず、迅速に更新プログラムを適用する脆弱性対策、内部不正を防ぐためにIDなどの適切なアクセス権限管理などが有効です。さらに社内、テレワーク環境を含めたIT環境を一元管理できるツール、PC、スマホといったエンドポイントの見直しも検討すべきでしょう。
このように、従来の従業員教育の強化、IT環境の運用管理の見直しといった方法のみでは、対策は不充分です。最新の情報セキュリティ10大脅威に対応するため、新たなITツールの利活用が有効です。取り返しのつかない事態を招く前に、前向きに導入の検討を進めるべきではないでしょうか。
最新の脅威や課題に対応できるソリューション
情報セキュリティの10大脅威に対応できるサービス、ソリューションは国内外の各社からリリースされています。ポイントは、いかに総合的な脅威への対策ができるパートナーを選ぶかにあります。ドコモビジネスではランサムウェア、サプライチェーンを標的型攻撃などに対処できる幅広いセキュリティソリューションをラインナップしています。
昨今、ランサムウェアの手口は従来のバラマキ型メールから、標的型攻撃メールに巧妙化しているため、標的型攻撃と同様の対策が必要です。メールを含めた総合的な対策を考えるのであれば、ゼロトラストの考え方を取り入れた、ネットワーク/セキュリティ/マネジメント一体型ソリューション「SASEソリューション・ライト」がおすすめです。とくにランサムウェア、標的型攻撃に特化した「ランサムウェア対策パック」では、メールによるランサムウェアの侵入を防ぐエンドポイントセキュリティに加え、不正アクセスを防止する特権ID管理、情報漏えいを防ぐUEBAなどをワンストップで提供。一元運用によるコストや管理負担を軽減します。
ドコモビジネスのランサムウェア対策パック
メールに限ったランサムウェア、標的型攻撃対策であればPPAPの撤廃も有効な対策です。代替策として現在、多くの企業で導入が進むのが特定の相手だけにファイル転送を許可、社内外のメンバーのみでファイルを共有できるオンラインストレージサービスです。コンテンツの集約により社内・取引先とのスムーズかつ安全なファイル共有を実現し、ファイル管理のトータルコストを削減する「Box over VPN」を提供しています。さらにメールのURLリンクと添付ファイルを安全な経路を通すことでメール無害化を実現する「Menlo Security」も充分な効果が見込めるでしょう。
サプライチェーンの弱点を突かれる脅威には、ネットワークを中心としたITインフラの見直しが有効になります。通信の暗号化やUTM(統合脅威管理)での対策は効果的な一手といえます。VPNサービス「Arcstar Universal One」では、オプションサービスとして「インターネット接続機能(vUTM)」を提供。高信頼なインターネット接続と各種セキュリティ機能をクラウド化してセットにすることで、サプライチェーンの弱点を突かれるリスクを軽減します。さらに次世代インターコネクトサービス「InterConnect」により、クラウドサービスやデータセンターなどの間を閉域でセキュアに接続も可能です。
最近ではサプライチェーンの脆弱性を狙う攻撃範囲はITに限らず、工場などのOT(制御系システム)にまで拡大しています。このようなOTのセキュリティリスクを高精度に見える化、検知する「WideAngleプロフェッショナルサービスOsecT」も提供しています。
テレワーク、ハイブリッドワークの脅威に対抗する対策としては、自宅などのエンドポイントで利用するPC、スマホを安全な端末に見直すのも一手です。ドコモビジネスではセキュリティ対策を始めビジネスに必要な機能をスマホに集約した「ビジネスマホパック」をご用意しています。
セキュリティ担当者の人材不足などに伴い、ゼロデイ攻撃、脆弱性対策情報の公開に伴う悪用についての対策が後手に回るという課題をお持ちなら「セキュリティサポートデスク」がおすすめすです。会員コミュニティでの情報交換や日々の運用について気軽に相談でき、自社のセキュリティの悩みを解消する「駆け込み寺」として活用できます。万一の場合は、専門家による電話サポートやサイバー保険で補償も受けられるので安心です。
