No198 「情報セキュリティ脅威2021」の使い方
この時期の恒例ですが、IPAから「情報セキュリティ10大脅威
2021」の詳細版が公開されました。
今回はこの「情報セキュリティ10大脅威2021」の内容と
使い方について解説します。
1. IPAとは?
IPAという組織はこのメルマガで何度も紹介しています。
https://www.ipa.go.jp
URLを見るとわかる通り、最後が go.jp です。
そう、皆さんもご存知の co.jp ではなくて、go.jp なんです。
go.jpって何でしょうか?
これは、国や政府(goverment)に関連するサイトだけが使える
というかなり特殊なもので、一般企業や団体がgo.jpで終わる
ドメインを申請しても許可されません。
IPAもそういった機関の一つで、正式名称は「情報処理推進機構」
と言う独立行政法人です。
ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。
なんちゃら機構だとか独立行政法人などといわれると、融通のきか
ない形式主義的な組織をイメージする方も多いでしょう。
ま、実際IPAも税金で運営されている団体ですのでその傾向はあり
ます。
それでも、IPAが発表する内容は信頼度が高く、筆者もよく参考に
しています。
また、啓蒙記事をマンガ形式や動画形式にするなど、一般の方にも
わかりやすくする工夫をしている点も好感が持てます。
2. 情報セキュリティ10大脅威とは?
そのIPAが毎年2~3月に発表しているのが「情報セキュリティ10
大脅威」というものです。
これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかったもののベスト10(というかワースト10)を有識者の
審議と投票で決めたものです。
2月頃には、10大脅威の順位が発表され、3~4月にはその詳細な
解説書が刊行されます。
いずれも無料配布され、WebでもPDFが公開されています。
その情報セキュリティ10大脅威の2021年版(内容は2020年の
事故や事件に関するもの)が発表されたのです。
「情報セキュリティ10大脅威 2021」を公開
https://www.ipa.go.jp/security/vuln/10threats2021.html
比較的平易な表現で書かれた文章ですので、是非ご一読ください。
なお、このメルマガでもこの10大脅威については毎年解説をして
います。
note.comでも2020年のバックナンバーを公開してますので、興味
のある方はご覧ください。
「No149 2019年最大の情報セキュリティ事故」
https://note.com/egao_it/n/n00ecc7ad5446
「No150 多要素認証をも破る攻撃手法(情報セキュリティ10大
脅威 2) 」
https://note.com/egao_it/n/n19a2d55142a4
3. さて、2021年版の注目点は?
「情報セキュリティ10大脅威」は個人向けと組織向けという
ことでそれぞれ1位から10位を決めています。
まず、何はともあれ10大脅威の内容です。
組織向けの10大脅威
1位 ランサムウェアによる被害(前年5位)
2位 標的型攻撃による機密情報の窃取(前年1位)
3位 テレワーク等のニューノーマルな働き方を狙った攻撃(初登場)
4位 サプライチェーンの弱点を悪用した攻撃(前年4位)
5位 ビジネスメール詐欺による金銭被害(前年3位)
6位 内部不正による情報漏えい(前年2位)
7位 予期せぬIT基盤の障害に伴う業務停止(前年6位)
8位 インターネット上のサービスへの不正ログイン(前年16位)
9位 不注意による情報漏えい等の被害(前年7位)
10位 脆弱性対策情報の公開に伴う悪用増加(前年14位)
個人向けの10大脅威
1位 スマホ決済の不正利用(前年1位)
2位 フィッシングによる個人情報等の詐取(前年2位)
3位 ネット上の誹謗・中傷・デマ(前年7位)
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年5位)
5位 クレジットカード情報の不正利用(前年3位)
6位 インターネットバンキングの不正利用(前年4位)
7位 インターネット上のサービスからの個人情報の窃取(前年10位)
8位 偽警告によるインターネット詐欺(前年9位)
9位 不正アプリによるスマートフォン利用者への被害(前年6位)
10位 インターネットサービスへの不正ログイン(前年8位)
例年、1つか2つの脅威が新たにリストに加わり、その他は順位が
多少上下するというのがいつものパターンです。
組織向けの脅威ではランサムウェア(身代金を要求するマルウェア)
が1位に返り咲きした他、コロナ禍でのリモートワークに伴って
急激に広がったリモート接続に対する脅威が3位に加わっているの
が目立ちます。
一方、個人向けの脅威は、順位の入れ換えだけで新たな脅威は加
わっていませんが、同じ脅威であっても、手法が変質したり進化
したりしているわけですから、油断は禁物です。
4. 一読するだけでは定着しない
さて、ここで個々の手法の解説に入ります、と言いたいところです
が、それは次回以降に回して、ちょっと寄り道をします。
上記の通り、この「情報セキュリティ10大脅威」というのは非常
に有用な資料です。
この文書は現場を知らない役人が作ったものではありません。
文書の末尾に10大脅威選考会メンバの一覧が付いていますが、
情報セキュリティ専業会社はもとより、NTTデータ、日本IBM、NEC、
パナソニック、東芝、日立、富士通といった有名企業、大学の研究
者など、最前線で活躍しているセキュリティ専門家が多数参加して
作りあげたものです。
これを上手に活用すれば、組織全体のセキュリティ意識の向上にも
つなげられます。
具体的な被害例や手口も記載されており、危機感を持つには適切な
資料です。
冒頭に書いた通り、この資料を作成したIPAという組織は税金で
運営されている組織です。我々が支払った税金で作られた資料なの
ですし、無償公開されているのですから、使わなければ損という
ものです。
組織内のメンバ意識向上のためにも、この資料を活用することは
とても有意義です。
とはいえ、「情報セキュリティ10大脅威」は60ページを越える
冊子です。こんなのを組織内で回覧したり、メールで告知したっ
て、こんなのを読んでるヒマなどない方が大半でしょうし、例え
一度読んだとしても、普段意識しなければ、すぐに忘れてしまい
ます。
うまく組織メンバに定着させる方法はないものでしょうか?
5. 小出しにして毎週回覧はいかが?
幸いなことに「情報セキュリティ10大脅威」の本文は1つの
脅威を2ページで解説するスタイルを取っていて、5分もあれば
読める内容です。
このお手軽さを利用しない手はありません。
週に一度、一つの脅威を紹介してはいかがでしょうか?
昔ながらの紙での回覧、社内掲示板の利用、メール送付、社内用
Webページに掲載など、皆さんの組織に合った方法で告知をしては
いかがでしょう?
精読率はずっと高くなるはずです。
各メンバの意識を高めることは、情報セキュリティ対策の王道です。
情報セキュリティを高める上で一番のリスクは人だからです。
「あれ?ひょっとして今までのやり方って危ない?」
「このメールって、この間回覧で見た○○のことじゃないの?」
などと各メンバの注意力を磨けば、仕掛けられたワナにかかる可能
性はグッと低くなります。
いくらお金をかけてシステムを整備しても、メンバの意識が低け
れば、簡単にひっかかってしまいます。
メンバの意識を高めるには必ずしもおカネはかかりませんが、効果
を得るまでには、長期間の地道な活動が必要です。
これを実施しようとしても、毎週ネタを担当者が準備するなんて
できるはずがなく、結局は続かないのです。
情報セキュリティ10大脅威の冊子はこのようなネタとしてうって
つけです。比較的平易な文章で書かれていますし、組織向け、個人
向けに10件づつありますから、毎週1つづつ回覧すれば20週間は
ネタに困りません。
20週も経てば、最初に回覧した内容は忘却の彼方でしょうから、
もう一度回覧しましょう。
二巡もしたころには翌年度の10大脅威が発表されていますから、
それを回覧する。
こうすれば、セキュリティ担当の負担をさほど増やさず、常に組織
メンバが最新の10大脅威の知識を得ることができます。
皆さんの組織でも積極的にご活用してはいかがでしょうか。
6. まとめ
IPAという独立行政法人が毎年2月~3月に「情報セキュリティ10
大脅威」という冊子を毎年刊行しています。
今回はその10大脅威の順位の紹介と、組織内での活用法について
解説をしました。
ところで「あれ?最後の話は以前も読んだぞ」という方、長期間の
ご愛読ありがとうございます。
実は同じ話を2年前にも書いています。
このメルマガで毎回書いているように、情報セキュリティ対策情報
は鮮度が命です。毎年のように新たな攻撃手法が出てきますし、今
までは安全と思われていたものが安全でなくなるケースもよくある
からです。
にも関わらず、今回2年前とほぼ同じことを書いたのは、意識向上
策やルール化といった組織メンバに関わるテーマはそうそう簡単に
陳腐化しません。逆に定着させるのが大変とも言えますね。
次回からは、この10大脅威の個々の内容について解説をしたいと
思います。
次回もお楽しみに。
この記事が気に入ったらサポートをしてみませんか?