今年1月に、独立行政法人情報処理推進機構(IPA)から「情報セキュリティ10大脅威 2023」が公開されました。この資料は2014年から毎年発行されており、前年に発生した情報セキュリティー事故やサイバー攻撃の状況などから、有識者が最新の脅威を選出してランキングにしたもので、企業・団体でセキュリティー対策方針を決める際や従業員のセキュリティー教育教材として広く参考にされているものです。
最新の組織向け情報セキュリティ10大脅威ランキングは図表1の通りになりました。

図表1

9位以上の脅威が2022年から2年連続で10大脅威に選ばれています。
1位から3位までの「ランサムウェアによる被害」、「サプライチェーンの弱点を悪用した攻撃」、「標的型攻撃による機密情報の窃取」は、ここ数年トップ3での選出が続いており、最重要の脅威となっています。
また、10位となった「犯罪のビジネス化（アンダーグラウンドサービス）」は2018年以来5年ぶりにランクインしました。攻撃に使用するツールやマルウェアの売買、攻撃代行のクラウドサービスまでもが出現しており、サイバー攻撃を容易に行える状況に変化していることが指摘されています。

1位の脅威となった「ランサムウェアによる被害」においては、国内、海外ともに未だ拡大しており、警察庁の公表した国内でのランサムウェア被害報告(図表2)では、2020年下半期から2022年下半期まで右肩上がりで被害が増加していることが分かります。また、ランサムウェア被害のあった企業・団体の規模別の件数において、大企業が対象となったものは全体の27%であり、残りの73%は中小企業や団体が被害の対象になっています。
さらに業種別の被害報告件数から読み取れるように、全体としては製造業・サービス業が目立ちますが、その他業種も広く被害報告が挙げられており、どの企業・団体もランサムウェアの脅威に他人事ではいられない状況と言えます。
このように、サイバー攻撃のトレンドは特定の企業や団体を標的とした計画的な攻撃から、無差別かつ自動的に攻撃を行い、セキュリティーが脆弱な組織を総当たりで探し出す形へと変化していることが読み取れ、被害に遭う可能性を低減させるためには「基本的なセキュリティー対策」を実行・継続することが重要になると考えられます。

図表2

脅威に備えるための考え方は、人がウィルス感染を予防するために、こまめに手洗いやマスクをして感染対策することに例えられます。また感染予防対策だけではなく、日ごろから食事や運動などを通じて免疫力を向上させておくことで、病気になったとしても重症化せず早期回復することができます。
IT環境でも同じことが言え、サイバー脅威に備えるためには、図表3のようにまずサイバー攻撃の糸口を知って適切な対策を行い、それを継続的に更新・維持していくことが基本となります。
しかし、セキュリティー対策の基本を実践しサイバー免疫力を高めたとしても、日々、新しい脅威は発生しており、防衛策を突破されてしまう可能性はゼロになりません。そのため、セキュリティー事案が発生した際に被害を最小限にとどめ、早期に復旧させるための対応策や体制を準備しておくことが必要になっており、これらのサイバーセキュリティーに関する「事前の予防」や「事後の対応」を専門で担う体制(CSIRTと呼ばれます)を組織して運用することが推奨されています。

図表3

上述のとおり、CSIRTの重要性と必要性は高まる一方で、ITシステムはますます複雑になり、セキュリティー対応を万全に行うためには専門的な知識や多大な人的リソースを求められるようになってきました。特に中小企業・団体においては、自社のみでCSIRTを組織し運用するのは容易ではありません。しかし、必ずしもすべてを内製で用意する必要はなく、技術的な判断や作業については専門家にアウトソースすることが可能です。
弊社では、CSIRTに求められる「事前の予防」と「事後の対応」をご支援するサービスとして「CSIRT運用支援サービス」を提供しています。(図表4)
日々発表される脆弱性情報の収集・判別してご報告するメニューや、定期的にセキュリティー診断を実施しリスク状況をご報告するメニューをご用意しており、基本的なセキュリティー対策のうち専門知識やマンパワーが必要になる業務を弊社にお任せいただけます。また、もしかしたらサイバー攻撃を受けたかもしれない、という段階から弊社のセキュリティーアナリストがご相談に応じ、セキュリティー侵害が確認された場合は侵害の進行状況に応じて次に何をするべきか、対応終息までアドバイスいたします。ぜひお気軽にご相談ください。

図表4

• IPAは独立行政法人情報処理推進機構の登録商標です。