IPA「情報セキュリティ10大脅威2021」 あらゆる脅威に対策するには?

「情報セキュリティ10大脅威」とは?

2021年1月27日にIPA(独立行政法人情報処理推進機構)から「情報セキュリティ10大脅威2021」が発表されました。
これはIPAが情報セキュリティ対策の啓蒙を目的として2006 年から毎年発表し続けているものです。前年に世間を賑わせた情報漏洩事件やその攻撃手法等をもとに、被害を受ける対象となる「個人」と「組織」毎に選出された上位10個の脅威と解説がまとめられています。過去の10大脅威を振り返ってみると、日本年金機構やベネッセで情報漏洩事件が発生した翌年の2016年に発表された組織における10大脅威では1位が「標的型攻撃による情報流出」で2位が「内部不正による情報漏えいとそれに伴う業務停止」となりました。

時節を反映した脅威が上位にランクインする一方で、「標的型攻撃による機密情報の窃取」や「内部不正による情報漏洩」等は毎年のようにランクインしている事も忘れてはいけません。企業活動をしていく上では、これらあらゆる脅威がある事を念頭に置いて然るべき対策を実施していくことが必要になります。

「10大脅威2021年」の特徴

それでは今回、新たに発表された2021年版はどうだったのかを見ていきましょう。

順位「組織」向け脅威昨年順位
1位ランサムウェアによる被害5位
2位標的型攻撃による機密情報の窃取1位
3位テレワーク等のニューノーマルな働き方を狙った攻撃NEW
4位サプライチェーンの弱点を悪用した攻撃      4位
5位ビジネスメール詐欺による金銭被害3位
6位内部不正による情報漏えい2位
7位予期せぬIT基盤の障害に伴う業務停止6位
8位インターネット上のサービスへの不正ログイン16位
9位不注意による情報漏えい等の被害7位
10位脆弱性対策情報の公開に伴う悪用増加14位
出典:IPA『情報セキュリティ10大脅威 2021』

テレワークで増大するセキュリティ脅威

一番の特徴はやはり3位にランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃」ではないでしょうか。コロナ禍によるテレワークの急拡大によって、突貫的に導入されたネットワーク機器や持ち出し用端末、リモートアクセスツール等はテレワーク環境の整備という面では大きな役目を担いました。しかし、同時に多くのセキュリティホールを発生させる要因にもなりました。個人で契約するクラウドストレージ利用や自宅WiFiから社内システムへの接続、機密情報の社外持ち出し等、突貫的に導入したテレワークに対するセキュリティ上の不安は絶えません。テレワークが浸透し始めた今こそ「セキュアなテレワーク」を本格的に検討していく事が求められます。

二重の脅迫を迫る進化したランサムウェア

次にあげるのは、1位にランクインした「ランサムウェアによる被害」です。これは過去にも10大脅威にランクインした事がありますが、その当時とは事情が少し異なります。過去に多くあったものは、社内のファイルを暗号化する等して業務停止に追い込み身代金を要求するに留まっていました。しかし今回の大きな特徴は暗号化するだけではなく、同時に大量に窃取した情報を社外公開する事を口実に身代金を要求するという「二重の脅迫」に進化した点です。これは各企業がランサムウェア対策を施し始めたことで、暗号化するだけでは身代金が支払われないケースが増えた事も背景にあるのではないでしょうか。そのため、さらなる強力な脅迫として機密情報の外部公開に及んだと思われます。身代金を要求されてからでは既に手遅れとなってしまいます。そうなる前に万全の対策をしておかなければ進化したランサムウェアの脅威に対抗する事は難しいでしょう。

10大脅威の常連「標的型攻撃」と「内部不正」

このように世間を賑わせた情勢や事件を反映したものがランクインしている一方で、冒頭でも述べた通り毎年根強くランクインし続けている脅威も忘れてはいけません。その一つが昨年1位で今年は2位であった「標的型攻撃による機密情報の窃取」です。攻撃者は予め狙いを定めた企業に対して、手段を選ばずにあらゆる手を尽くして執拗に攻撃を仕掛けてきます。標的となった企業の取引先を装ったメール等がその代表例です。また、もう一つ根強くランクインし続けているのが「内部不正による情報漏えい」です。特に多いのが転職時に顧客情報や機密度の高い技術情報等を持ち出して、転職後のビジネスに活用するケースです。当然、多くの企業では機密情報を勝手に持ち出す事が出来ないよう何らかの対策をしていることでしょう。しかし、それでも一部の役職者らへは情報の持ち出しをある程度許可しなければいけない場面もあります。重要情報を持ち歩かせたくはない一方で、持ち歩けないと業務がまわらないというジレンマを感じた事がある方は実は多いのではないでしょうか。たしかに「セキュリティ」と「利便性」は相反する部分があり永遠のテーマと言える側面があります。しかし、そういった中でも常に自社にとっての最適解を見いだしていかなければ、情報漏洩事件によっていずれ大きな損失を招いてしまうかもしれません。

あらゆる脅威に対して有効なファイル暗号化

このように「セキュリティ」と「利便性」のバランスを考えていく上での有効策としてDRM(Digital Righets Manegiment)/IRM(Information Rights Management)技術を使った「ファイル暗号化」があります。これは、機密情報が格納されたファイルそのものを暗号化しておくことで、外部に持ち出されたとしても部外者はファイルを開くことが出来ないため機密情報の漏洩を防ぐことが出来ます。一方で認められた人は、暗号化された状態のままファイルを開くことが出来、操作性が変わる事はありません。

もはやファイルが不正に外部へ持ち出されることを完全に防ぐ事は難しい時代になりました。機密ファイルは持ち出される前提で対策をしていくことで、多様化した脅威に対抗することが出来るようになります。

IPAによる「情報セキュリティ10大脅威2021」はニューノーマルな働き方による漏洩やランサムウェアに代表されるサイバー攻撃など、世相を反映した内容となり、組織はあらゆる脅威への対策となるより本質的な情報漏洩対策が求められています。

情報漏洩対策へ不安がある方、お困りの方は、弊社までお気軽にご相談ください。
お問い合わせフォーム