サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

「情報セキュリティ10大脅威」から考える、まず必要な対策とは



2018年1月30日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威」が発表されました。これは、前年に発生した社会的に影響が大きい情報セキュリティに対する脅威を、専門家の投票等によりランク付けしたものです。

〈関連〉IPA「情報セキュリティ10大脅威2018」発表、標的型攻撃が1位

2018年も常連の脅威から新しくランクインしたものまで様々な脅威が挙げられました。10大脅威が何かということは、リンク先を見ていただくとして、今回のコラムでは「組織の10大脅威」の新顔を解説して行きたいと思います。

組織における10大脅威

ビジネスメール詐欺

ビジネスメール詐欺は、広義には1位の「標的型攻撃による情報流出」と同じように「標的型攻撃」の一種です。ビジネスメールを装って、犯罪者の口座に振り込みをさせる、というものです。

こう書くと「オレオレ詐欺みたいなものじゃん。注意してれば騙されないよ。」と思うかも知れません。しかし、騙そうとする側は、社内の情報を盗み出し、あるいは取引先から取引情報を盗み出し、実在の取引から振込先だけを変更する請求書を送りつけたりします。実在の人物、実在の取引を使われたメールが来たとして、絶対に見抜く自信がありますか?

個人情報や新商品情報等へのセキュリティ意識は国内でも高まってきました。ですが、単なる取引情報は、暗号化していないメールでやり取りをすることが多くあります。金額が多いような取引は、「取引の存在情報」だけでも悪用が可能である、ことを意識する必要が出てきています。

脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

IPAやJPCERT等、ハードウェアやソフトウェアに脆弱性が見つかると、すぐにアナウンスがされます。対策を取る側にとってはとても有難いことです。ところが、公知されるということは、犯罪者側にも知られることになります。犯罪者も「ああ、こういう脆弱性があるなら、この方法で攻撃してみるか」と考えているのです。

この背景には「ディジタル・ディバイド」ならぬ「情報セキュリティ・ディバイド」とも言えるものの存在が大きいのです。情報セキュリティにあまり意識を向けない、社内の意思決定権者がこの脅威を助長しているのです。

脆弱性が見つかったら、「ああ、すぐ対応しなくちゃ」とは考えない組織が多すぎます。例えば、昨年10月にサポート切れとなったoffice2007。トレンドマイクロの発表では2017年9月末時点で、まだ国内で40万台が利用していた、との調査結果です。今、このコラムをご覧になっている方の会社でも、office2007を利用しているかも知れません。

脆弱性が見つかったら、すぐ対応する。それが、当たり前の風潮にならなければ、この脅威は無くならないでしょう。

セキュリティ人材の不足

これは、初出というよりも、「当たり前すぎて入れるのを忘れていた」というのが正しいかも知れません。不足どころか「セキュリティ担当者は、いません」という組織ですら数多くありますからね。そもそも、情報セキュリティの脅威自体の認識が薄い組織が多すぎますし。

認識があったとしても、人材を確保するのは容易ではありません。ベンダーや大手企業、公共機関等が大慌てで人材確保に勤しんでいる現在です。

中小企業でセキュリティ人材を「雇う」なんてことは、相当ラッキーでないと無理でしょう。今、社内にセキュリティ人材がいないなら、まずは、外部で情報セキュリティ対策を相談できる相手を探しましょう。

可能であれば複数の意見を聞こう

企業であれば自社製品を沢山売りたい。それは市場原理において非難されるようなことではありません。ただ、自社にとってそれが”妥当な”製品なのかどうかは別です。

情報セキュリティ対策は色々な方法が考えられます。だから「やった方が良いか」と問われれば、「やった方が良い」となるでしょう。しかし、「今すぐやらなければいけないか」と問われれば、「先にこっちをやっておいた方が良い。」「やらなくても大きな問題になる可能性は低い。」となるものもあるはずです。

だから、自社内に情報セキュリティマネジメント人材がいないなら、できれば複数から意見を聞いた方が良いのです。

まずは脅威を認識すること

毎年発表されている「情報セキュリティ10大脅威」ですが、未だに周知されているとは言いかねます。プライバシーマークやISMSの審査で触れない審査員も多いようですし。

しかし、「情報セキュリティ10大脅威」に載るということは、”社会的影響が大きく””よく知られた”脅威だということなのです。最低限、この脅威を知り、対策を立てたという姿勢を見せておかないと、いざ脅威が顕在化した時、「こんなことの対策もやってなかったの?なんなんだこの会社は。」と批判されてしまう可能性が出てしまうのです。

まずは、「脅威」を知ること。そしてその対策を検討・実施すること。それが組織に最低限求められることなのです。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。