10大脅威とセキュリティ

毎年冬に発表される「情報セキュリティ10大脅威 2023」が、2023年1月25日に発表されました。
各脅威をに対する解説資料は、例年ならば2月に公開予定となっていますが、今回のコラムでは解説資料に先立って特に重要とみられる脅威を紹介します。

「情報セキュリティ10大脅威」は、毎年1月に昨年1年間に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
独立行政法人情報処理推進機構(IPA)が脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものになります。

1月に個人・組織(法人)別にランキング形式で発表され、続いて2月に「各脅威の解説資料」が発表されます。
2023年の脅威、つまり2022年の発生した情報セキュリティの事案からみられる脅威を紐解いていきましょう。

《組織(法人)向け》

組織のランキング1位～5位は順位は違えど顔ぶれは2022年と同じです。

「ランサムウェアによる被害」、「サプライチェーンの弱点を悪用した攻撃」、「標的型攻撃による機密情報の窃取」のランキングはセットになっています。
昨今はエンドポイントの攻撃及びネットワーク機器の脆弱性を狙った攻撃が多くみられます。
UTMやVPNの機器を乗っ取られてしまうと組織内のネットワークは筒抜けになってしまいます。
エンドポイントだけでなく、ネットワーク機器のファームウェアの定期的な確認も必要です。

10位ではありますが、圏外から「犯罪のビジネス化」がランクインしました。
犯罪集団も役割分担して攻撃を仕掛けてくるようになっています。非常に巧妙なやり口となっていますので、今以上にテクニカル面とマネジメント面での対策が必要になってきます。

組織のメンバーはお互いに繋がって(＝相互に協力しあって)仕事をしています。その繋がりの中の最も弱いところがその組織のセキュリティレベルとなります。
100人のうち99人が高いセキュリティ意識を持って仕事をしていたとしても、1人のほんのちょっとの不注意が事件や事故に繋がる可能性が高くなります。
そして悪者はいつもその不注意な1人を狙ってます。

サイバー攻撃による被害は個々の影響に留まらず、その後の二次被害や攻撃を受けた被害者が他者への加害者になってしまうことも十分あり得ます。
最新の脅威や事例、対策を知ることで、自分が加害者にならないようにしなければなりません。