「情報セキュリティ10大脅威」から考える、まず必要な対策とは|サイバーセキュリティ.com

「情報セキュリティ10大脅威」から考える、まず必要な対策とは



2018年1月30日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威」が発表されました。これは、前年に発生した社会的に影響が大きい情報セキュリティに対する脅威を、専門家の投票等によりランク付けしたものです。

〈関連〉IPA「情報セキュリティ10大脅威2018」発表、標的型攻撃が1位

2018年も常連の脅威から新しくランクインしたものまで様々な脅威が挙げられました。10大脅威が何かということは、リンク先を見ていただくとして、今回のコラムでは「組織の10大脅威」の新顔を解説して行きたいと思います。

組織における10大脅威

ビジネスメール詐欺

ビジネスメール詐欺は、広義には1位の「標的型攻撃による情報流出」と同じように「標的型攻撃」の一種です。ビジネスメールを装って、犯罪者の口座に振り込みをさせる、というものです。

こう書くと「オレオレ詐欺みたいなものじゃん。注意してれば騙されないよ。」と思うかも知れません。しかし、騙そうとする側は、社内の情報を盗み出し、あるいは取引先から取引情報を盗み出し、実在の取引から振込先だけを変更する請求書を送りつけたりします。実在の人物、実在の取引を使われたメールが来たとして、絶対に見抜く自信がありますか?

個人情報や新商品情報等へのセキュリティ意識は国内でも高まってきました。ですが、単なる取引情報は、暗号化していないメールでやり取りをすることが多くあります。金額が多いような取引は、「取引の存在情報」だけでも悪用が可能である、ことを意識する必要が出てきています。

脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

IPAやJPCERT等、ハードウェアやソフトウェアに脆弱性が見つかると、すぐにアナウンスがされます。対策を取る側にとってはとても有難いことです。ところが、公知されるということは、犯罪者側にも知られることになります。犯罪者も「ああ、こういう脆弱性があるなら、この方法で攻撃してみるか」と考えているのです。

この背景には「ディジタル・ディバイド」ならぬ「情報セキュリティ・ディバイド」とも言えるものの存在が大きいのです。情報セキュリティにあまり意識を向けない、社内の意思決定権者がこの脅威を助長しているのです。

脆弱性が見つかったら、「ああ、すぐ対応しなくちゃ」とは考えない組織が多すぎます。例えば、昨年10月にサポート切れとなったoffice2007。トレンドマイクロの発表では2017年9月末時点で、まだ国内で40万台が利用していた、との調査結果です。今、このコラムをご覧になっている方の会社でも、office2007を利用しているかも知れません。

脆弱性が見つかったら、すぐ対応する。それが、当たり前の風潮にならなければ、この脅威は無くならないでしょう。

セキュリティ人材の不足

これは、初出というよりも、「当たり前すぎて入れるのを忘れていた」というのが正しいかも知れません。不足どころか「セキュリティ担当者は、いません」という組織ですら数多くありますからね。そもそも、情報セキュリティの脅威自体の認識が薄い組織が多すぎますし。

認識があったとしても、人材を確保するのは容易ではありません。ベンダーや大手企業、公共機関等が大慌てで人材確保に勤しんでいる現在です。

中小企業でセキュリティ人材を「雇う」なんてことは、相当ラッキーでないと無理でしょう。今、社内にセキュリティ人材がいないなら、まずは、外部で情報セキュリティ対策を相談できる相手を探しましょう。

可能であれば複数の意見を聞こう

企業であれば自社製品を沢山売りたい。それは市場原理において非難されるようなことではありません。ただ、自社にとってそれが”妥当な”製品なのかどうかは別です。

情報セキュリティ対策は色々な方法が考えられます。だから「やった方が良いか」と問われれば、「やった方が良い」となるでしょう。しかし、「今すぐやらなければいけないか」と問われれば、「先にこっちをやっておいた方が良い。」「やらなくても大きな問題になる可能性は低い。」となるものもあるはずです。

だから、自社内に情報セキュリティマネジメント人材がいないなら、できれば複数から意見を聞いた方が良いのです。

まずは脅威を認識すること

毎年発表されている「情報セキュリティ10大脅威」ですが、未だに周知されているとは言いかねます。プライバシーマークやISMSの審査で触れない審査員も多いようですし。

しかし、「情報セキュリティ10大脅威」に載るということは、”社会的影響が大きく””よく知られた”脅威だということなのです。最低限、この脅威を知り、対策を立てたという姿勢を見せておかないと、いざ脅威が顕在化した時、「こんなことの対策もやってなかったの?なんなんだこの会社は。」と批判されてしまう可能性が出てしまうのです。

まずは、「脅威」を知ること。そしてその対策を検討・実施すること。それが組織に最低限求められることなのです。


SNSでもご購読できます。