ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
前回、情報セキュリティ業界の年中行事として、独立行政法人情報処理推進機構(以下、IPA)が1月末に発表した「情報セキュリティ10大脅威2025」(以下:10大脅威)を紹介した。その後、2月には企業など組織に関するセキュリティについて『「情報セキュリティ10大脅威2025」解説書』(以下:解説書)が公開された。さらに解説書を自組織のセキュリティ脅威にどのように役立てればよいかのヒントが書かれた『「情報セキュリティ10大脅威」解説書の活用法(組織編)』(以下:活用法)も同時に公開された。今回はその概略を紹介する。
効果的な対策のための具体的なアプローチを解説
前回、本連載で「情報セキュリティ10大脅威2025」を取り上げ、上位に「ランサム攻撃による被害」や「サプライチェーンや委託先を狙った攻撃」などの常連が並ぶ中、7位に「地政学的リスクに起因するサイバー攻撃」が初登場したと紹介した。
10大脅威の発表だけでなく、詳細な解説書や活用法を公開した目的は「自組織にとっての脅威と対策を考える」ことだ。活用法の冒頭では、解説書を読む上で(1)順位にとらわれず、立場や環境を考慮する、(2)ランクインした脅威がすべてではない、(3)「情報セキュリティ対策の基本」が重要、という3つの留意事項を上げている。
組織の中には解説書を参考に10大脅威のランキングの上位から対策を講じていこうとするケースも見受けられるが、それは効果的ではなく、かといって関係ないと済ませてしまえば脅威がなくなるものではない。
活用法が推奨するのは、3つの留意点を踏まえながら10大脅威のランキングにこだわらず、実効性のある対策を立てることだ。そのためには自組織にとって重要な脅威を抽出し、その対策候補を洗い出し、予算などを考慮して実施する対策を選択していく必要がある。活用法はその具体的なアプローチを解説している。
段階を踏んで検討し、自組織に必要な対策を把握
自組織にとって重要な脅威を抽出するには、まず「守るべきもの」を明確にしなくてはならない。対象には、業務プロセス、保有する重要な情報やデータ、それを利用し提供するサービスやシステム、サービスやシステムを構成する機器などがある。
活用法では事例としてオンラインショッピングサイトを立ち上げた日用生活雑貨を販売する企業を設定し、組織での検討例を取り上げている。ここで守るべきものは、オンラインショッピングシステム、ITシステム、保有する情報やデータとしている。
次に、自組織にとって守るべきものへの脅威を抽出する。10大脅威を参考に、自組織の守るべきものに被害をもたらす可能性がある脅威を洗い出す。また脅威が大きな損害、損失につながる場合には、具体的な被害も想定する。
自組織の守るべきものに対する脅威が見つからなければ、過去の10大脅威にさかのぼって自組織に関係する脅威を見つけることも大事なプロセスだ。今回ランクインしていなくても、今でも存在する脅威があるからだ。
具体的な被害を書き出す際には、その被害がどの脅威に対応するのかもメモする。脅威の抽出と被害の想定が完了したら、発生してほしくない順番に脅威を並べ替える。想定被害額が大きい順番に並べ替えるのも一つのやり方だ。
前述の事例では、被害額に会社の経営方針を考慮して順位付けを行い、ランサム攻撃、システムの脆弱(ぜいじゃく)性を突いた攻撃、不注意による情報漏えいという順番で整理している。活用法では、検討内容について経営者などからお墨付きを得るよう勧めている。
最後に対策候補の洗い出しを行う。脅威に対して考えられる対策候補を列挙していく。情報セキュリティの世界では脅威と対策の関係がN対Nになる場合も珍しくない。そこで活用法では表形式にして検討する方法を紹介している。
その上で実施する対策を選択する際には、予算や時間、システムの状況から一部実施などの条件を付けたりして実施の優先順位を決めるだけでなく、実施予定日を明確にしておくのが望ましい。
このように活用法を参考に実行計画を立案し対策を講じると、どの組織でも実効性の高い対策を実現できるはずだ。
執筆=高橋 秀典
【TP】
あわせて読みたい記事
連載バックナンバー
最新セキュリティマネジメント
- 第47回 「情報セキュリティ10大脅威2025」活用法 2025.04.25
- 第46回 「情報セキュリティ10大脅威2025」決定 2025.02.13
- 第45回 情報セキュリティマネジメント試験でリテラシー向上 2025.01.31
- 第44回 サイバーセキュリティお助け隊サービスとは 2025.01.15
- 第43回 ウイルス感染警告のサポート詐欺にだまされない 2024.12.19
- 第42回 スマート工場のセキュリティリスク 2024.11.18
- 第41回 不注意なクリックなしでPCが突然操作不能に! 2024.10.17
- 第40回 認識すべき3原則と指示すべき重要10項目 2024.09.17
- 第39回 長期休暇前後のセキュリティ対策 2024.08.19
- 第38回 AI利用におけるセキュリティ対策 2024.07.18
- 第37回 中小企業の内部不正対策を強化する3つのポイント 2024.06.18
- 第36回 SECURITY ACTION宣言で全社の意識を変える 2024.05.23
- 第35回 2023年、新種のランサムウエア攻撃が増加 2024.04.15
- 第34回 企業に必須の情報セキュリティ対策の基本 2024.03.14
- 第33回 2023年の10大脅威から見えてきたもの 2024.02.19
- 第32回 偽セキュリティ警告を体験する 2024.01.22
- 第31回 IPAのイベントでセキュリティ最新動向を確認 2023.12.18
- 第30回 サプライチェーンの一員としてのセキュリティ対策 2023.11.20
- 第29回 最新のサイバー攻撃の実態を知って被害を防ぐ 2023.10.23
- 第28回 無料で簡単に自社の情報セキュリティレベルを診断 2023.09.21
- 第27回 工場のスマート化に潜むセキュリティリスク 2023.08.21
- 第26回 「不正のトライアングル」の観点で内部不正を防ぐ 2023.07.24
- 第25回 「SECURITY ACTION自己宣言」をしよう 2023.06.22
- 第24回 セキュリティインシデント対応は3ステップで 2023.05.29
- 第23回 無料教材でできる情報セキュリティ教育 2023.04.25
- 第22回 「情報セキュリティ10大脅威 2023」に学ぶ 2023.03.20
- 第21回 パスワード付き添付ファイルの送受信リスク 2023.02.24
- 第20回 J-CRATの活動報告から学ぶ国家支援型サイバー攻撃 2023.01.24
- 第19回 産業用制御システムのセキュリティ強化 2022.12.20
- 第18回 攻撃を再開したマルウエア「Emotet」の脅威 2022.11.24
- 第17回 ビジネスメール詐欺の手口と対策が丸わかり 2022.10.24
- 第16回 「情報セキュリティ白書2022」に学ぶ(後編) 2022.09.22
- 第15回 「情報セキュリティ白書2022」に学ぶ(前編) 2022.08.23
- 第14回 未来を担う高度IT人材の育成に注力 2022.07.26
- 第13回 「情報セキュリティ10大脅威2022」を確認 2022.06.21
- 第12回 サイバー攻撃情報の入手とその有効活用および提供 2022.05.24
- 第11回 サプライチェーン全体の対策及び状況把握 2022.04.19
- 第10回 インシデントによる被害に備えた復旧体制の整備 2022.03.15
- 第9回 インシデント発生時の緊急対応体制の整備 2022.02.15
- 第8回 セキュリティ対策におけるPDCAサイクルの実施 2022.01.18
- 第7回 リスクに対応するための仕組みの構築 2021.12.21
- 第6回 サイバーセキュリティリスクの把握と対応計画の策定 2021.11.16
- 第5回 サイバーセキュリティ対策のための資源確保 2021.10.19
- 第4回 セキュリティリスク管理体制の構築 2021.09.21
- 第3回 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2021.08.24
- 第2回 サイバーセキュリティ経営の重要10項目 2021.07.20
- 第1回 サイバー空間潮流。サイバーセキュリティは経営問題 2021.06.22