1月に発表された「情報セキュリティ10大脅威の2025年版」の解説資料が2025年2月28日に公開されました。
組織向けに発表されている「情報セキュリティ10大脅威」に対して脅威と影響、攻撃手口、事例、対策を60ページほどにまとめてあります。
解説書を読むにあたり、「順位にとらわれることなく」、「10大脅威以外の脅威にも目を向けて」、セキュリティ対策の基本を継続していくことが重要です。
自組織にとって、守るものは何か、脅威は何か、どのようなリスクがあるのかを明らかにしていくことから始めると良いでしょう。
今回のコラムでは、解説書の要約として主な脅威とその対策を3つに分けてまとめてみました。
1.外部からの攻撃への備え
ランサム攻撃やサプライチェーン攻撃、システムの脆弱性を突いた攻撃が増加しています。データの暗号化をせず、情報搾取と情報漏えいによる金銭の要求をするノーウェアランサムの被害も多くなってきています。
ランサム攻撃:組織のデータを暗号化し、復旧のために身代金を要求する手口です。
《対策》
データの定期的なバックアップとオフライン保管
メールの添付ファイルやリンクを安易に開かない教育
セキュリティソフトウェアの最新状態の維持
サプライチェーン攻撃:取引先や委託先を経由して自社を攻撃する手法です。
《対策》
取引先のセキュリティ状況の定期的な確認
契約時のセキュリティ要件の明確化
サプライチェーン全体のリスク評価
システムの脆弱性を突いた攻撃:未修正もしくは未対応の脆弱性を悪用する攻撃です。
《対策》
ソフトウェアやOSの定期的なアップデート
脆弱性情報の収集と迅速な対応
不要なサービスやポートの無効化
2.内部からの脅威への対応
内部不正や不注意による情報漏えいは、組織の信頼性を損なう重大なリスクです。
内部不正による情報漏えい:従業員や関係者が意図的に情報を持ち出す行為です。
《対策》
アクセス権限の最小化と定期的な見直し
重要データへのアクセスログの監視
内部通報制度の整備
不注意による情報漏えい:メールの誤送信や設定ミスによる漏えいです。
《対策》
メール送信時の確認プロセスの徹底
クラウドサービスの設定確認と適切なアクセス制御
定期的なセキュリティ教育の実施
3.新たな脅威とその対策
技術の進歩や社会情勢の変化に伴い、新たな脅威が出現しています。
地政学的リスクに起因するサイバー攻撃:国家間の緊張や政治的動向に関連する攻撃です。
《対策》
最新の脅威インテリジェンスの収集
重要インフラやサービスの冗長化
緊急時対応計画の策定と訓練
リモートワーク環境を狙った攻撃:在宅勤務の普及に伴う新たな攻撃手法です。
《対策》
VPNやゼロトラストモデルの導入
リモートアクセスの多要素認証の実施
従業員のセキュリティ意識向上
組織のセキュリティ担当者は、これらの脅威を理解し、適切な対策を講じることで、組織の安全性を高めなければなりません。
日々の情報収集と相談先の確保が重要なポイントとなるでしょう。
参考資料:情報セキュリティ10大脅威の2025年版
結論:新たな脅威を知って、加害者にならないようにしよう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
