IPA「情報セキュリティ白書2023」公開国内外のセキュリティ動向について

2023年7月25日、IPA（独立行政法人情報処理推進機構）は「情報セキュリティ白書2023」を公開しました。印刷書籍版とPDF版があり、前者は有償ですが、後者はIPAのサイトからアンケートに回答すれば無償でダウンロードできます。^※1

2022年における国内外のセキュリティ動向

白書では2022年の国内外における情報セキュリティの動向について記載されています。大きなポイントとして、序章「2022年度の情報セキュリティの概況」に下記が挙げられます。

ランサムウェア攻撃の巧妙化と被害の増加
サプライチェーンリスクへの対策等の必要性の再認識
漏えい・紛失事故を公表した社数・事故件数が2年連続で最多
個人を狙ったフィッシング等の被害は、宅配便業者や公的機関をかたる偽SMSが増加
全世界で確認したDDos攻撃が過去最多となる約602万回、前年同期比で205%
セキュリティ政策面では、サイバー警察局等の体制面の強化やセキュリティガイドラインの公開など、実践的な対策を推進
ウクライナ侵攻におけるSNS等のサイバー空間での情報宣伝戦、虚偽情報生成にAIを利用するなど技術面の向上

ランサムウェア攻撃の巧妙化として「二重の脅迫」だけではなく、被害組織へのDDos攻撃を行う「三重の脅迫」、被害組織の顧客等に対し被害の事実を連絡する「四重の脅迫」を行うことが示されています。また、ランサムウェア攻撃をサービスとして提供する「RaaS（Ransaomware as a Service）」の普及もあります。

なお、実際のランサムウェア被害の事例としては、2022年2月に発生した某自動車部品会社の事例や同年10月の大阪市の医療センターの事例が挙げられています。これらの事例は同時にサプライチェーンへのセキュリティ対策の必要性も示唆します。その理由として、上記の某自動車部品会社が攻撃を受けたことにより、部品供給先である自動車工場の稼働が一日停止してしまったことがあります。また大阪市の医療センターもVPNでつながる給食提供業者が侵入されたことが発端となりました。

また、漏えい・紛失の事例としては、2022年6月に某地方自治体で起きたUSBメモリー紛失事件が挙げられています。本事件は委託先業者が別の業者に無断で再委託するなど複数の問題があり、SNS等でも大きな話題となりました。

その他、白書では日本だけでなく、世界における情報セキュリティ動向も取り上げられており、ランサムウェア攻撃やDDos攻撃の世界的な増加、ウクライナ侵攻以後のセキュリティインシデントの増加や情報宣伝戦についても記載されています。

企業や個人に必要なセキュリティ対策について、同じくIPAから発表されている「情報セキュリティ10大脅威」よりもさらに詳細に記載されていますので、セキュリティ担当者の方は是非入手し、自社のセキュリティ強化にお役立てください。

情報セキュリティ政策の状況についても確認を

白書では、国内の情報セキュリティ政策の状況もまとめられています。セキュリティは、まず国家の機微な情報を有する政府機関等から先行してより強固なシステムが導入され、その後ガイドラインなどに従い民間企業へ広まっていく流れを取ることが多いため、政府機関等に対する指針を確認することで、今後のセキュリティ動向が見えてきます。

例えば、一時期はバズワード的に使われていた「ゼロトラスト」ですが、最近ではあまり聞かれなくなったように思われます。今後の動向はどうなるのでしょうか。

NISC（内閣サイバーセキュリティセンター）は2021年7月に「政府機関等のサイバーセキュリティ対策のための統一基準（令和3年度版）」^※2 を公開しました。この改定ではクラウドサービスの利用拡大や昨今のサイバー攻撃の高度化を踏まえ、ゼロトラストアーキテクチャ導入の検討等が追加されました。

また、デジタル庁は国、地方公共団体、準公共部門等の情報システムの整備・管理の基本方針を「情報システムの整備及び管理の基本的な方針」^※3 として策定しています。この方針の中では、情報セキュリティに関して別添で｢政府情報システムの管理等に係るサイバーセキュリティについての基本的な方針｣にまとめていますが、その中では、今後、各政府機関等がデジタル庁で整備する共通機能を用いた複数コンポーネントが連携して業務を実現することになるため、従来の境界型セキュリティに加え、ゼロトラストアーキテクチャの考えに基づきセキュリティを確保する必要があるとしています。

また、デジタル庁は政府情報システムの整備及び管理に関するルールを「デジタル社会推進標準ガイドライン」群 ^※4 としてまとめています。これらの内、セキュリティに関するドキュメントの中に「ゼロトラストアーキテクチャ適用方針」が参考ドキュメントして公開されており、ゼロトラストアーキテクチャの適用方針が説明されています。

このように、白書から情報セキュリティ政策の状況を確認すると、ゼロトラストは決して下火になったわけではなく、各ガイドラインなどに盛り込まれることで今後さらに普及・一般化していくであろうことが推測されます。特に機微な情報を扱う企業は早めの対応をお奨めします。

DataClasysで早めの対応を

白書には国外の情報セキュリティ政策の状況も記載されています。2023年7月に公表された「政府機関等のサイバーセキュリティ対策のための統一基準群」^※5 では、NIST（米国国立標準技術研究所）が2016年に発行したガイドライン「NIST SP800-171」を参考に、政府機関等からの業務を請け負う事業者に高度なセキュリティ対策の実施を求めていますが、このようにNISTなど海外のセキュリティ基準を参考に、国内のセキュリティ政策が策定されることもあるため、こちらも今後の動向を先んじて把握するために確認しておく必要があります。

なお、白書には弊社の提供する暗号化ソフト『DataClasys』のようなIRM（Information Rights Management）についても記されています。これは、不正な暗号化による業務停止とファイル窃取の二重恐喝を行うランサムウェアに対し有効な手段とされています。また、IRMはファイルに対する権限認証をアクセスに都度行うことでゼロトラストを実現するシステムであるため、今後必要性は増々高まると考えられます。

急速に進化するサイバー攻撃に素早く対応するためにも、是非『DataClasys』を検討ください。