· 

情報セキュリティ10大脅威から、現在のセキュリティ脅威動向をつかむ

松田 幸裕 記


1/29にIPA(情報処理推進機構)より「情報セキュリティ10大脅威 2020」が発表されました。
 2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
 「個人」と「組織」における脅威がそれぞれ10位まで提示されていますが、本投稿では組織における脅威について見ていきたいと思います。

標的型攻撃、ビジネスメール詐欺、ランサムウェアなど、メールを主な手段とする攻撃は不動の上位です。
 メール受信から、添付ファイルを開く行為、本文に記載されているURLをクリックする行為などへつながる一連の流れにおける多層防御について、多くの企業で対策がなされていると思いますが、やはり攻撃者側から見ると突破口としてはメールが最も有効なのでしょう。改めて、この一連の流れをどのように多層防御していくかを見直した方がよさそうです。

続いて、社員による情報漏洩の脅威が増大していることが気になります。「内部不正」と「不注意」による情報漏洩の推移は、以下のようになっています。

  • 内部不正 : 8位(2018年)→ 5位(2019年)→ 2位(2020年)
  • 不注意 : 12位(2018年)→ 10位(2019年)→ 7位(2020年)

いずれも上昇傾向にあり、要注意と認識したほうがよさそうです。(内部不正については、2017年は5位、2016年は2位であり、元々要注意の脅威ではありますが。)
 昨今のクラウド化、働き方の変化などにより、例えば「PCを持ち出し、社内のプロキシサーバーを経由せずに、個人で利用しているクラウドストレージサービスに情報を送る」なども容易にできるようになってきています。また、メールでの情報のやり取りが多くなっており、不注意によるメールの誤送信などもなかなか減りません。今に始まった脅威ではありませんが、クラウド化や働き方の変化という大きな流れをとらえ、改めてセキュリティリスクの見直しを行った方がよさそうです。

なお、この「情報セキュリティ10大脅威」は実績の数字を基にした順位ではないため、念のため数字でも確認してみたいと思います。少し前の情報になりますが、JNSA(日本ネットワークセキュリティ協会)から2019年6月に公開された、「2018年 情報セキュリティインシデントに関する調査報告書」から傾向を覗くと、いくつかのことがわかります。

まず原因別の漏洩件数を見てみますと、「紛失・置き忘れ」と「誤操作」(メール、FAX、郵便での誤送信)で全体の半分を占めていることがわかります。この傾向は例年からあまり変化が無いため、前述した「不注意による情報漏洩」は元々要注意の脅威と言えそうです。

不正アクセスは20.3%と、先ほどの不注意による情報漏洩と比べて少ないのですが、だから要注意ではないとは言えないようです。まず、「原因別 漏洩件数の経年変化」を見てみますと、不正アクセスの件数がここ5年ほどで徐々に増えています。各企業の皆さんはしっかり不正アクセスへの対策をしていると思いますが、件数としては減るどころか増してしまっています。また、インシデント・トップ10(1件での漏洩人数が多い順)を見ると、そのほとんどが「不正アクセス」によるものであることがわかります。インシデント件数としては不注意によるものが多いですが、漏洩人数で考えるとはるかに不正アクセスの方が多く、1件のインシデントが与えるインパクトは大きいため、やはり今後も要注意の脅威と言えます。また、この「1件のインシデントが与えるインパクトが大きい」というのは「内部不正による情報漏洩」にも言えることです。インシデントの件数としては「不正な情報持ち出し」が2.3%、「内部犯罪・内部不正行為」が2.9%と低いですが、インシデント・トップ10の中で見ると1件のインシデントで37万9千人分の情報が漏洩していることがわかります。こちらも要注意の脅威と言えそうです。

以上から、「攻撃」「内部不正」「不注意」というリスクはそれぞれ重要な位置づけであり、網羅的で十分な対策を引き続き行っていく必要があることがわかります。働き方、攻撃手法、対策技術などの変化をつかみ、適切な対策を講じていきましょう。