- HOME
- セキュリティ最新ニュース
- 「情報セキュリティ10大脅威 2020」がIPAより公開されました
Security
「情報セキュリティ10大脅威 2020」がIPAより公開されました
独立行政法人 情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2020」を発表しました。
情報セキュリティ10大脅威 2020
「情報セキュリティ10大脅威 2020」は、2019年に社会的影響が大きかったと考えられる脅威候補を、情報セキュリティ分野の専門家によってランク付けしたものです。脅威は「個人」と「組織」の2つの視点で順位付けされます。「組織」の10大脅威については、以下の10項目が選出されました。
| 順位 | 昨年 順位 |
脅威 |
|---|---|---|
| 1 | 1 | 標的型攻撃による機密情報の窃取 |
| 2 | 5 | 内部不正による情報漏えい |
| 3 | 2 | ビジネスメール詐欺による金銭被害 |
| 4 | 4 | サプライチェーンの弱点を悪用した攻撃の高まり |
| 5 | 3 | ランサムウェアによる被害 |
| 6 | 16 | 予期せぬIT基盤の障害に伴う業務停止 |
| 7 | 10 | 不注意による情報漏えい(規則は遵守) |
| 8 | 7 | インターネット上のサービスからの個人情報の窃取 |
| 9 | 8 | IoT機器の不正利用 |
| 10 | 6 | サービス妨害攻撃によるサービスの停止 |
トップは前年と変わらず「標的型攻撃」でした。「標的型攻撃」が1位となったのはこれで5年連続となります。過去2年間で1~3位の顔ぶれに変化はなかったものの、今年は「内部不正による情報漏洩」が昨年5位から順位を上げ、2位にランクインしています。昨年10大脅威に初めて登場した「サプライチェーンの弱点を悪用した攻撃」は、今年も4位をキープしており、引き続き注意が必要です。
内的要因による情報漏洩
情報漏洩の原因は、外部からのサイバー攻撃だけではありません。
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の調査によると、情報漏洩の原因のうち7割以上は内的要因が占めていることが分かります。
漏えい原因比率(件数) ―特定非営利活動法人日本ネットワークセキュリティ協会(JNSA) より
2019年には、「内部不正による情報漏洩」も注目を集めました。中でも大きく取り沙汰されたのが、情報機器リユース業者の社員が廃棄予定のHDDを不正に持ち出し、ネットオークションで転売した事件です。
また、「不注意による情報漏洩」事故も絶えることなく報じられており、今年の10大脅威でも更に順位を上げています。(昨年10位 → 今年7位)
業務委託先の内部不正や不注意による情報漏洩が大きく注目を集めたことで、「外部関係者のセキュリティ対策」について改めて見直す必要があると考えた組織も多いのではないでしょうか。実際、大阪商工会議所が実施した調査によると、「中小企業自身が自衛すべき」と委託先にセキュリティ対策を要求する企業が全体の約1/4を占めました。委託先のセキュリティ対策については、昨年の転売事件のように対策が万全かどうかを把握しきれていないケースが多いのが現状です。
とはいえ、自社のセキュリティ対策の不十分さが原因で取引先企業の情報漏洩が発生した場合、信用失墜のみならず、損害賠償請求や取引停止等の具体的な措置を覚悟しなければなりません。
内的要因による情報漏洩の対策
それでは、内的要因による情報漏洩に対してはどのような対策を施せばいいのでしょうか。主に、以下のような方法が挙げられます。
- 外部記憶装置・クラウドアプリケーションの使用制限
- アクセス制限
- ログの取得・監視
- 教育の実施
USBメモリなどの外部記憶装置の使用を制限することで、外部記憶装置を利用した情報の持ち出しから情報を守ることが可能です。また、クラウドアプリケーションにおいても、業務上で利用されていないものの使用は禁止すべきです。
情報を重要度に応じて明確に区分し、重要な情報を管理する社員以外に対して、業務上必要な情報以外のアクセスを制限します。
重要な情報に対するアクセスログや、端末利用者のログなどを取得し、監視します。
情報セキュリティやコンプライアンスに関する教育を実施します。特に内部不正に対しては、倫理的に許されず、リスクに見合わない行為であることを認識させます。
下記のようなセキュリティ製品を導入することで、外部記憶装置・クラウドアプリケーションの使用を制限するだけでなく、社員のセキュリティ違反に対する牽制にもなります。
外部記憶装置の使用を制限:
セキュリティエージェント
クラウドアプリケーションの使用制限:
Check Point CloudGuard SaaS
また、転売事件のようなケースでは、委託元の対策としてもHDD暗号化が高い効果を発揮します。今回の事件ではリユース業者の管理体制に焦点が当たっていましたが、委託元も本来はHDD暗号化など適切なセキュリティ運用を実施していれば、復号されることもなく情報漏洩は防げたでしょう。
Check Point Full Disk Encryptionは、OSも含めたHDDすべてを暗号化。暗号化方式には堅固なAES-256bitが採用され、情報を高度に暗号化します。
ITセキュリティに関するご相談はこちらまで。
引用元(外部サイト)
情報セキュリティ10大脅威 2020|情報処理推進機構(IPA)
2018年 情報セキュリティインシデントに関する調査報告書【速報版】|特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)