IT技術の進化に伴い、サイバー攻撃が巧妙化・高度化する現代社会において、あらゆる企業はいつサイバー攻撃を受けてもおかしくない状況です。サイバー攻撃の被害にあってしまうと、業務停止や情報消失だけでなく、取引先や顧客への損害賠償・ブランドイメージの失墜など、企業の競争力・社会的信頼に大きな影響がおよびます。こうした脅威に対して、各企業は強固なサイバーセキュリティを確保することが必要です。
この記事では、IPAが発表する最新の「情報セキュリティ10大脅威」を参考に、近年のサイバー攻撃の傾向を解説するとともに、効果的な対策ポイントを紹介します。
情報セキュリティ10大脅威とは
情報処理推進機構(以下 IPA)は、昨年(2021年)に発生したセキュリティ事故や攻撃の状況などを考慮し、社会的に影響が大きかったと考えられるセキュリティ事案を「情報セキュリティ10大脅威」としてまとめています。セキュリティ事案は、情報セキュリティ分野の研究者、企業の実務担当者などの情報セキュリティの専門家を中心に構成された「10 大脅威選考会」の審議・投票により順位づけされています。
社会状況やサイバー攻撃の傾向が反映されているため、最新動向や被害状況を把握するとともに、セキュリティ対策方針の検討に役立つとして、多くの企業が注目するレポートです。
目次
最新版「情報セキュリティ10大脅威2022」を解説
2022年1月27日にIPAが発表した「情報セキュリティ10大脅威2022」には、どのようなセキュリティ脅威がランクインされているのでしょうか。ここからは、発表内容をもとに、個人・組織に対する脅威をそれぞれ解説します。
「個人」向け脅威ランキング
個人向けの脅威ランキングは以下のとおりです。カッコ内の数字は昨年度の順位を表しています。
順位 | 脅威内容 |
1位 | フィッシングによる個人情報等の詐取(2位) |
2位 | ネット上の誹謗・中傷・デマ(3位) |
3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求(4位) |
4位 | クレジットカード情報の不正利用(5位) |
5位 | スマホ決済の不正利用(1位) |
6位 | 偽警告によるインターネット詐欺(8位) |
7位 | 不正アプリによるスマートフォン利用者への被害(9位) |
8位 | インターネット上のサービスからの個人情報の窃取(7位) |
9位 | インターネットバンキングの不正利用(6位) |
10位 | インターネット上のサービスへの不正ログイン(10位) |
出典:情報セキュリティ10大脅威 2022|独立行政法人情報処理推進機構
昨年度2位だった「フィッシングによる個人情報等の詐取」が順位を上げて、1位となりました。フィッシング詐欺は金融機関や携帯電話会社になりすました電子メールやSMSを送信し、偽装されたWebサイトへ誘導することで、個人情報や銀行口座情報を窃取するオンライン詐欺です。被害は年々拡大しており、フィッシング対策協議会の月次報告書によると、2022年1月の月間報告件数は約5万件を超えています。
不審なメール・SMSを受け取っても安易に開封しない、送られたメッセージ上のURLをクリックしない、オンラインサービスを利用する際はブックマークや公式アプリを利用する、ワンタイムパスワードのような本人認証を強化するなど、被害にあわないための対策が重要です。
フィッシング詐欺については、「フィッシング詐欺の被害を防ぐには?企業としてどのような対策を取ればよいか」で詳しく解説しています。ぜひご一読ください。
出典:2022/01 フィッシング報告状況|フィッシング対策協議会
「組織」向け脅威ランキング
次に組織向けの脅威ランキングを紹介します。カッコ内の数字は昨年度の順位です。
順位 | 脅威内容 |
1位 | ランサムウェアによる被害(1位) |
2位 | 標的型攻撃による機密情報の窃取(2位) |
3位 | サプライチェーンの弱点を悪用した攻撃(4位) |
4位 | テレワーク等のニューノーマルな働き方を狙った攻撃(3位) |
5位 | 内部不正による情報漏えい(6位) |
6位 | 脆弱性対策情報の公開に伴う悪用増加(10位) |
7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(NEW) |
8位 | ビジネスメール詐欺による金銭被害(5位) |
9位 | 予期せぬIT基盤の障害に伴う業務停止(7位) |
10位 | 不注意による情報漏えい等の被害(9位) |
出典:情報セキュリティ10大脅威 2022|独立行政法人情報処理推進機構
組織向けの脅威は昨年に引き続きランサムウェア(1位)や標的型攻撃(2位)がランクインしています。近年のランサムウェア攻撃は、特定の企業・組織を狙った標的型攻撃の手法(標的型ランサム)や、暗号化前に取得したデータの暴露(二重の脅迫)など、確実に身代金を支払わざるをえない状況をつくり出すのが特徴です。
また、2022年版では新たな脅威として、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が選出されています。
最新のセキュリティ脅威に対抗するには「平時の備え」が重要
「情報セキュリティ10大脅威2022」のなかでも、特に組織向けの脅威は、企業の情報セキュリティ担当者が意識し、正しく攻撃傾向を把握すべき内容です。例えば、2021年末に発覚しニュースとなった「Apache Log4j」ライブラリのゼロデイ脆弱性のように、日々刻々と変化するサイバー攻撃の傾向を押さえた適切な対応が欠かせません。
<セキュリティ脅威に立ち向かうためには、すでに顕在化している脆弱性への対症療法はもちろんのこと、外部からの侵入を防御・検知する仕組みの導入や、定期的なバックアップ取得など日頃からの備えが重要です。
サイバー攻撃の傾向から見るセキュリティ対策のポイント3選
サイバー攻撃から企業の大切な情報資産を守るためには、具体的にどういった対策が有効なのでしょうか。ここからは「情報セキュリティ10大脅威2022」の内容も踏まえて、セキュリティ対策のポイントを3つ紹介します。
1.新旧どちらの脅威にも対応できるセキュリティサービスを選択する
サイバー攻撃は日々進化し、手口が巧妙化しています。既知の攻撃パターンに対応できるのはもちろんのこと、最新の攻撃パターンにも即座に対応できるセキュリティサービスを選択することが重要です。
また、サイバーセキュリティの最前線である「エンドポイントセキュリティ」を配備することで、企業ネットワーク本体への侵入を防ぎ、被害を最小化することが可能です。
エンドポイントセキュリティの詳細については、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」で詳しく解説しています。ぜひご一読ください。
2.多層的な視点でセキュリティインシデントに備える
単一のセキュリティ対策だけでなく、複数のセキュリティ対策を実施する「多層防御」でサイバー攻撃の脅威から情報を守る対策も有効です。各セキュリティ製品の「抜け道」を前提として、入口・内部・出口と複数の防御層を構えることで、より安全なネットワークを構築し、データ侵害の被害を最小限に抑えます。
また、近年のセキュリティ対策ではサイバー攻撃を完全に防ぐのではなく、万が一サイバー攻撃を受けた場合でも被害を最小化し早期復旧を目指す「サイバーレジリエンス」の考え方が広く普及しています。発生してしまったインシデントをいち早く鎮静化し、二次被害を防ぎつつ本来の状態に戻すといった「レジリエンス(復元力・弾力)」を高めるアプローチです。
サイバーレジリンスの詳細については、「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」で詳しく解説しています。ぜひご一読ください。
3.サポート体制が充実したサービスを選ぶ
セキュリティ対策としてセキュリティ製品・サービスを導入する場合、ベンダーサポートを事前に確認することが大切です。
製品選定・導入・セットアップのサポートはもちろん、導入後もトラブル発生時は休日・深夜を問わず対応が可能か、専門家のサポートは受けられるかなどを確認しましょう。多くの導入実績・ノウハウを持つベンダーを選ぶことも重要なポイントです。
サイバー攻撃の傾向に合わせたセキュリティ対策が重要
IPAが毎年発表する「情報セキュリティ10大脅威」は、企業の経営者や情報セキュリティ担当者が必ず押さえておきたいセキュリティトレンドです。今後もますます巧妙化・複雑化するサイバー攻撃に対抗するために、被害を未然に防ぐサイバーセキュリティと、万が一攻撃を受けた場合でも早期復旧を目指すサイバーレジリエンスの両面から取り組むことが求められています。