情報セキュリティの10大脅威と今後の対策について解説！

情報セキュリティの10大脅威とは？

情報セキュリティの10大脅威とは、独立行政法人情報処理推進機構（IPA）が毎年発表しているものです。IPAが情報セキュリティの脅威になると考える候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者など約150人のメンバーからなる選考会にて決定しています。

人々の生活にとってIT機器やツールが身近なものとなり、便利になった反面リスクも増えました。情報セキュリティの10大脅威では、その年で社会的に影響が大きかったものを、個人向けと組織向けそれぞれに発表しています。

2022年の10大脅威

情報セキュリティの10大脅威は個人に対するものと組織に対するものがそれぞれ発表されています。ここでは組織向けのランキングを紹介します。

出典：IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

1位……ランサムウェアによる被害
ランサムウェアとはウイルスの一種で、PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求されるなどの被害が発生する。2021 年も国内の企業や病院 などのランサムウェア被害が報道され、大きな話題となった。

2位……標的型攻撃による機密情報の窃取
企業や民間団体そして官公庁など、特定の組織から機密情報などを窃取することを目的とした標的型攻撃が継続して発生している。

3位……サプライチェーンの弱点を悪用した攻撃
セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な取引先などを標的とする手口がある。

4位……テレワークなどのニューノーマルな働き方を狙った攻撃
組織のテレワークへの移行に伴いウェブ会議サービスやVPNなどの本格的な活用が始まった中、それらを狙った攻撃が行われている。

5位……内部不正による情報漏洩
組織に勤務する従業員や元従業員などの組織関係者による機密情報の持ち出しや悪用などの不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失、情報漏洩につながるケースも散見される。

6位……脆弱性対策情報の公開に伴う悪用増加
ソフトウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。一方、その情報を攻撃者に悪用され、当該ソフトウェアに対する脆弱性対策を行っていないシステムを狙った攻撃が行われている。

7位……修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
ゼロデイ攻撃は、修正プログラムが提供される前の脆弱性を悪用した攻撃。

8位……ビジネスメール詐欺による金銭被害
ビジネスメール詐欺（Business E-mail Compromise：BEC）は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取するなどの金銭被害をもたらすサイバー攻撃である。

9位……予期せぬIT基盤の障害に伴う業務停止
組織がインターネット上のサービスや業務システムなどで使用しているネットワークやクラウドサービスなどのIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがある。

10位……不注意による情報漏洩などの被害
組織において、情報管理体制の不備や情報リテラシーの不足などが原因となり、個人情報や機密情報を漏洩させてしまう事例が引き続き多く見られた。

情報セキュリティの10大脅威に注目すべき理由

情報セキュリティの10大脅威を知ることで、どのようなことを重視して情報セキュリティ対策をしたら良いのかわかります。特に、近年は以下のようなことが大きく関わっています。

• テレワークの拡充
• 働き方の変化
• モバイル端末の充実

新型コロナウイルス感染対策としてテレワークが拡充し、働き方が変化したことで会社以外の場所で仕事をする人が増えました。会社の機密情報にさまざまな場所からさまざまなツールを使ってアクセスし、場合によってはモバイル端末を使うこともあります。

4位で紹介した「ニューノーマルな働き方を狙った攻撃」は、2021年に初登場した情報セキュリティの10大脅威です。

テレワーク環境の強化拡充で可用性に重点がおかれ、セキュリティ的に課題があっても外部からのアクセスを許可、などを迫られたケースが多いかもしれません。テレワーク端末のパッチ管理が困難になった結果、社内ネットワークにウイルス感染を拡大させた事例もあります。

7位で紹介した「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」は、昨年8位だった「インターネット上のサービスへの不正ログイン」に替わって、2022年に初登場で7位となった。2021年12月に世界中のプログラムで広く使われているJava用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されているとの情報と同時に公開され、大きな話題となった。

情報セキュリティの10大脅威に注目し重視することで、どのような脅威があり、どのような対策をしたら良いのかを知ることができるのです。

情報セキュリティの10大脅威の対策方法

情報セキュリティの10大脅威の対策には以下のような方法があります。

従業員の情報に対するリテラシーを向上する

IT機器を扱う従業員に対し、情報やITのリテラシー教育を行うことが情報セキュリティの10大脅威の対策になり、被害を予防できます。情報リテラシーやITリテラシーとは、情報機器やITネットワークを使って情報やデータの管理、活用をする能力のことです。

情報漏洩による被害や、セキュリティ対策の重要性を知ることで従業員が危機感を持ち、自発的に対策をしようと考えるようになります。つまり、情報セキュリティの10大脅威を知ることも情報リテラシーの向上につながるのです。また、以下のようなことを従業員に伝え、情報を守る意識付けもします。

• 情報は「狙われるもの」と考える
• 心当たりのないメールは開封しない
• メールに添付してあるファイルやリンクを不用意に開かない
• IDやパスワードを適切に扱う

リテラシーに関しては、知っていて当然と思わず、すべての従業員が何度も確認しながら業務を進められるようにすると良いでしょう。

基本的な対策が重要

情報セキュリティの10大脅威を幅広く対策するには、基本的なことをもれなく実践することが大切です。10大脅威は毎年更新されていますが、ランクインした脅威以外にも多数の脅威は存在します。とはいえ、利用する「攻撃の糸口」は似通っており、脆弱性を突く、ウイルスを使う、人の油断や隙を狙うなどの古くからある基本的な手口が使われ続けています。基本的な対策を継続的に行うことで、被害に遭う可能性を低減できるでしょう。

IPAが提唱する「情報セキュリティ対策の基本」

• ソフトウェアの更新
• セキュリティソフトの利用
• パスワードの管理・認証の強化
• 認定の見直し
• 脅威・手口を知る

出典：IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2021」
https://www.ipa.go.jp/files/000088835.pdf

このような対策は、企業や組織がフローとして確立することもできます。また、ルールや使用するデバイス、ツールなどは、状況に応じて見直し最適な状態を保つようにしましょう。

まとめ

情報セキュリティの10大脅威とは、独立行政法人情報処理推進機構（IPA）が毎年発表しているものです。情報セキュリティにおいて、どのようなリスクがあるのか知ることで、対策の方法を考えられるようになります。

また、「第1位 ランサムウェアによる被害」「第2位 標的型攻撃による機密情報の窃取」「第8位 ビジネスメール詐欺による金銭被害」の攻撃はメールが糸口となりえます。普段から情報やファイルのやり取りにメールを使わないことで、異変に気付きやすく防げる攻撃もあります。

NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、法人向けファイル転送・オンラインストレージサービスです。

特定の相手だけにファイル転送を許可したり、社内外のメンバーのみでファイルを共有することもできます。業務ごとにやり取りする相手を限定しておくことで安全性を高められます。

さらに、ログインには2要素認証やIPアドレス制限を利用することで、なりすましを防止できます。豊富なセキュリティ機能も好評のサービスです。

情報セキュリティの10大脅威に対し、まずはメールからBizストレージ ファイルシェアに乗り換えてみませんか？