10大脅威とセキュリティ

毎年冬に発表される「情報セキュリティ10大脅威 2022」が、2022年1月27日に発表されました。
各脅威をに対する解説資料は、例年ならば2月に公開予定となっていますが、今回のコラムでは解説資料に先立って特に重要とみられる脅威を紹介します。

「情報セキュリティ10大脅威」は、毎年1月に昨年1年間に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、
独立行政法人情報処理推進機構(IPA)が脅威候補を選出し、情報セキュリティ分野の研究者や企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものになります。

1月に個人・組織(法人)別にランキング形式で発表され、続いて2月に「各脅威の解説資料」が発表されます。
2022年の脅威、つまり2021年の発生した情報セキュリティの事案からみられる脅威を紐解いていきましょう。

《組織(法人)向け》

組織のランキング1位と2位は2021年と同じく「ランサムウェアによる被害」、「標的型攻撃による機密情報の窃取」です。

標的型攻撃は特定の企業や組織や個人を狙った攻撃で、「取引先や関係者を装ったフィッシングメール攻撃」、「よく利用するサイトを改ざんし不正アクセスを試みる攻撃」、「セキュリティの甘い関係組織への不正アクセスを糸口とした攻撃」など、多岐にわたる手口が特徴です。
標的型攻撃の犯人は組織的かつ用意周到なものが多く、企業の大小にかかわらず被害が多くなっています。
標的型攻撃によって、ランサムウェアは拡散されます。
2021年は複数の企業や病院がランサムウェアの被害にあい、長時間の業務停止が発生しました。
情報障害が事業に与えた影響の大きさから、BCP(事業継続計画)を見直し・策定のきっかけとなることも期待しています。

組織のメンバーはお互いに繋がって(＝相互に協力しあって)仕事をしています。その繋がりの中の最も弱いところがその組織のセキュリティレベルとなります。
100人のうち99人が高いセキュリティ意識を持って仕事をしていたとしても、1人のほんのちょっとの不注意が事件や事故に繋がる可能性が高くなります。
そして悪者はいつもその不注意な1人を狙ってます。

ランキング1位～4位の順位の変動はあれど、上位4位は変わりありませんでした。
昨今のインシデントは、それぞれの脅威が重なり合って大事故に発展することが多くなってきているのが特徴です。

サイバー攻撃による被害は個々の影響に留まらず、その後の二次被害や攻撃を受けた被害者が他者への加害者になってしまうことも十分あり得ます。
最新の脅威や事例、対策を知ることで、自分が加害者にならないようにしなければなりません。