最新セキュリティマネジメント（第13回） 「情報セキュリティ10大脅威2022」を確認

　これまで本連載では、経済産業省が策定した「セキュリティ経営ガイドライン」を基に、情報セキュリティについて解説してきた。今回からは独立行政法人情報処理推進機構（以下IPA）が発信する情報を活用して、経営者が知っておくべき最新のセキュリティ情報を紹介する。

サイバー攻撃の最新動向を知ろう

　IPAは経済産業省の外郭団体で、情報セキュリティの啓発やDXの促進、高度IT人材の育成などに取り組んでいる。情報処理技術者試験でご存じの方もいるかもしれない。情報セキュリティについての情報を発信しており、中堅中小企業にとって有益な情報も多い。ここではIPAが発信する情報を基に、今求められるセキュリティ対策について考えてみたい。第1回となる今回は、2022年1月に発表された「情報セキュリティ10大脅威2022」について解説する。

　IPAでは情報セキュリティについての注意喚起を促すために、2006年から「情報セキュリティ10大脅威」を毎年発表している。前年に発生した情報セキュリティ事故や攻撃の状況などから候補を選定し、約150人の専門家や実務担当者の投票によって順位が決められる。この10大脅威の変化を追えば、企業が今取り組むべき対策が見えてくる。

　10大脅威については、ランキングを発表するだけでなく、解説や活用方法について別途冊子を発行している。最新の冊子として2022年3月に解説書の「情報セキュリティ10大脅威2022」と「情報セキュリティ10大脅威の活用法 情報セキュリティ10大脅威2022版」が発行されている。

　これらの冊子では、脅威の具体的な中身や対策のための検討事項などが紹介されている。あくまでも一般論として書かれているので、すべてが自社に当てはまるとは限らないが、セキュリティ対策を強化するヒントになるはずだ。

　10大脅威のランキングは組織編と個人編に分けて発表される。もちろん本連載は企業という組織を対象としているので、ここでは組織編のランキングの中で特に注目すべきものをピックアップして紹介する。最近のトレンドを把握する参考にしてほしい。

●情報セキュリティ10大脅威 2022

※初めてランクインした脅威

最も気を付けるべきはランサムウエア攻撃

　組織編の1位は2021年に引き続き「ランサムウェアによる被害」だ。2020年には5位だったことを考えると、いかに危険度が上がっているかが分かる。ランサムウエアはウイルスの一種で、パソコンやサーバーが感染するとデータが暗号化されて利用できなくなる。それを解除することと引き換えに金銭を要求される。

　ランサムウエアはデータを人質に取って身代金を要求するところから、身代金を意味する「Ransome」と「Software」を組み合わせた「Ransomeware」という造語が作られた。暗号化する前に情報を盗み出しておいて、要求した金銭を支払わなければ情報を公開すると脅す「二重脅迫」という手口もある。ちなみに身代金を支払ってもデータが復旧できる保証はないのが悪質なところだ。

　昨年の4位から3位にランクアップしたのが「サプライチェーンの弱点を悪用した攻撃」である。新型コロナウイルスの流行により特定地域の工場が操業を停止し自動車の生産が滞るなど、リアルなサプライチェーンの脆弱性が話題になった。サイバーの世界でもサプライチェーンの脆弱性が狙われる。

　注意すべきは弱点が狙われる点だ。攻撃者は効率よく成果を得るためにサプライチェーンの“弱い輪”を狙ってくる。つまり、強固なセキュリティ対策を講じている大企業より、大企業と取引している中小企業や海外企業などセキュリティ面の対策が不十分な“輪”を狙い、そこからサプライチェーンをたどって大企業のシステムに侵入しようとする。

　同様にセキュリティ対策の脆弱な部分を狙うのが「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。昨年の3位から4位に順位を下げたが、注意が必要だろう。

　目新しい攻撃が、今年初めてランクインした7位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」だ。公開前のため一般にはそのソフトウエアのどこに脆弱性があるのか分からない。ここを狙われると多くのユーザーに被害が発生する可能性がある。2021年には実際にこうした攻撃が見られるようになった。攻撃側は進化しているのである。

脅威や対策を確認し自社がやるべきことを選ぶ

　解説書と同時に発表された「情報セキュリティ10大脅威の活用法」では、「順位にとらわれずに、立場や環境を考慮する」「ランクインした脅威がすべてではない」「情報セキュリティ対策の基本が重要」という前提で、具体的な検討方法が紹介されている。

　検討するプロセスとしては、自組織にとって守るべきものを明らかにし、自組織にとっての脅威を抽出し、その対策候補を洗い出し、実施する対策を選択すべきと解説している。すべての脅威から情報を守るのは不可能に近く、すべての対策を実施するのも現実的ではない。そのため組織の現状を踏まえて優先度を付けて対策を講じなければならない。

　「活用法」では組織と個人に分けて検討例が掲載され、ポイントが解説されている。脅威と対策候補の洗い出し例もあるので、チェックリストとして利用できるだろう。

　サイバー攻撃は多様化、高度化している。ただ、解説書にあるように「攻撃の糸口」は似通っている。脆弱性を突く、ウイルスを使う、ソーシャルエンジニアリングを使うなどだ。こうした攻撃を正しく理解し、セキュリティ対策を講じていくのが基本となる。そのうえで「10大脅威」の「解説書」と「活用法」は大いに参考になるはずだ。