「情報セキュリティ10大脅威2024」 解説書が公開 活用法や実施すべき対策とは

2024年2月29日、情報処理推進機構(以下、IPA)は、1月に公開した「情報セキュリティ10大脅威2024」についての追加資料として、

  • 「情報セキュリティ10大脅威 2024」(各脅威についての解説書)※1
  • 「情報セキュリティ10大脅威の活用法」※2
  • 「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」※3

の3点を公開しました。

また3月には上記の解説書の内容をスライド形式にした「簡易説明資料」を公開し、研修などで活用しやすいようにしています。

本コラムでは解説書だけでなく活用法や共通対策について簡単にまとめています。

「情報セキュリティ10大脅威 2024」解説書

順位「組織」向け脅威初選出年10大脅威での取り扱い
(2016年以降)
1位ランサムウェアによる被害2016年9年連続9回目
2位サプライチェーンの弱点を悪用した攻撃2019年6年連続6回目
3位内部不正による情報漏えい等の被害2016年9年連続9回目
4位標的型攻撃による機密情報の窃取2016年9年連続9回目
5位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)2022年3年連続3回目
6位不注意による情報漏えい等の被害2016年6年連続7回目
7位脆弱性対策情報の公開に伴う悪用増加2016年4年連続7回目
8位ビジネスメール詐欺による金銭被害2018年7年連続7回目
9位テレワーク等のニューノーマルな働き方を狙った攻撃2021年4年連続4回目
10位犯罪のビジネス化(アンダーグラウンドサービス)2017年2年連続4回目
出典:IPA『情報セキュリティ10大脅威 2024』「組織」向け脅威のみ抜粋

2024年に10大脅威としてランクインしたものは上記となります。

脅威には1から10位までの順位が付けられていますが、解説書においては、単純に順位の高い脅威から順に対処するのではなく、自組織の立場や環境などを総合的に考慮し、自組織に関連する脅威に優先的に対策することが求められています。

各脅威についての詳細や具体的な対策については解説書の該当部分をご確認ください。

「情報セキュリティ10大脅威の活用法」

「情報セキュリティ10大脅威の活用法」では、10大脅威にランクインした脅威(あるいはランク外となった脅威)から自組織にとって重要な脅威を選定し、それに対する具体的な対策を実施するまでのステップとして、以下のような手順を示しています。

  1. 自組織にとって守るべきものを明らかにする
  2. 自組織にとっての脅威を抽出する
  3. 対策候補を洗い出す
  4. 実施する対策を選定する

まずは、自組織にとってサイバー攻撃被害を受けたくない「守るべきもの」は何かを明らかにすることが必要です。例として挙げられているのは「業務プロセス」、重要な「情報」や「データ」、それを保護するための「システム」や、そのシステムを用いて提供される「サービス」、そしてそれらを構成する「機器」などです。さらに、自組織の社会的地位や信用、取引先との信頼関係も「守るべきもの」となります。

次に、「守るべきもの」への脅威を抽出します。例えば『10大脅威 2024』を参考にし、これにランクインしている脅威が「守るべきもの」に対して大きな損害を与えると予想される場合には、具体的な被害としてその脅威をリストアップします。そのように抽出した脅威を、優先的に対処すべきものから順に並べていきます。(『10大脅威 2024』に該当する脅威があまりない場合は過去の『10大脅威』も参考にします)

脅威を抽出したら、解説書から脅威の詳細とその対策を読み、各々の脅威に対して有効と考えられる対策候補を列挙します。

最後に、そうして洗い出した対策候補の一つ一つに対して、実施状況(「実施済み」「一部実施」「未実施」のいずれであるか)を評価します。「一部実施」「未実施」の中から、今後実施する対策候補を選択します。選択後は優先順位に従って実施計画を立てていきます。

「情報セキュリティ10大脅威の活用法」では、このような1~4のステップに従った具体的な検討例についても紹介されています。詳しくは資料をご確認ください。

「セキュリティ対策の基本と共通対策」

「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」では、「情報セキュリティ対策の基本」の重要性と、複数の脅威に対して同時に有効性のある「共通対策」についてまとめられています。

『10大脅威 2024』や過去の『10大脅威』には多数の脅威がランクインしていますが、これらが利用する攻撃の糸口は似通っており、また古くから知られる手口が使われています。

攻撃の糸口情報セキュリティ対策の基本目的
ソフトウェアの脆弱性ソフトウェアの更新脆弱性を解消し攻撃によるリスクを低減する
ウイルス感染セキュリティソフトの利用攻撃をブロックする
パスワード窃取パスワードの管理・認証の強化
※「共通対策」で詳細を解説
パスワード窃取によるリスクを低減する
設定不備設定の見直し謝った設定を攻撃に利用されないようにする
誘導(罠にはめる)脅威・手口を知る手口から重要視すべき対策を理解する
表1.1 情報セキュリティ対策の基本

また、クラウドサービスを利用する場合は、「情報セキュリティ対策の基本+α」として、下記が紹介されています。

備える対象情報セキュリティ対策の基本+α目的
インシデント全般責任範囲の明確化(理解)クラウドサービスを契約する際に、インシデント発生時は誰(どの組織)が対応する責任があるのかを明確化(理解)する
クラウドの停止代替案の準備業務が停止しないように代替案を準備する
クラウドの仕様変更設定の見直し更新情報を定期的に確認し、仕様変更により意図せず変更された設定を適切な設定に直す
(設定不備による情報漏洩や攻撃への悪用を防止する)
表1.2 情報セキュリティ対策の基本+α

なお、複数の脅威に対して有効な対策を行うことで効率的に対策を進めることもできます。資料ではこのような対策として下記が挙げられています。

  • パスワードを適切に運用する
  • 情報リテラシー、モラルを向上させる
  • メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしない
  • 適切な報告/連絡/相談を行う
  • インシデント対応体制を整備し対応する
  • サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
  • 適切なバックアップ運用を行う

ただ共通対策を実施すれば完全な対策になるわけではないことに注意が必要です。これらの対策についての詳細は資料をご確認ください。

複数の脅威から重要なデータを守る暗号化対策

弊社のご提供する『DataClasys』は重要なファイルを暗号化し、さらに閲覧・編集・印刷などの利用権限を制御するIRMソリューションです。このようなデータの暗号化は、先述の共通対策の中では「サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う」方法として紹介されています。

『10大脅威 2024』にランクインしている脅威には、ランサムウェア、内部不正、標的型攻撃による情報窃取、不注意による情報漏えいなど、機密ファイルが流出する可能性のあるものが複数含まれていますが、ファイル暗号化は”ファイルそのもの”に鍵をかけ漏えい対策を施すことから、これらの脅威に対して同時に有効性のある対策となります。

ファイル暗号化の有効性についてより詳しく知りたい方は、下記の動画を是非ご覧ください。

情報漏洩対策、どれを選べばいい?

参考

※1 情報セキュリティ10大脅威 2024 | 独立行政法人 情報処理推進機構 セキュリティセンター 2024年2月29日

※2 情報セキュリティ10大脅威の活用法 2024 | 情報処理推進機構 セキュリティセンター 2024年2月29日

※3 情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策 | 情報処理推進機構 セキュリティセンター 2024年2月29日