· 

「情報セキュリティ10大脅威 2021」から、現在のセキュリティ脅威動向をつかむ

松田 幸裕 記


1都3県の緊急事態宣言を3月21日まで再延長することが決まりました。

「この2週間が本当に瀬戸際」という政府の言葉を聞いて、1年前の2月下旬、「この1~2週間が瀬戸際」と言われて強く違和感を覚えた時のことを思い出しました。あの時から1年、どのように立ち向かっていくかというストーリーを未だ示せず、とりあえずその場をしのぐ対策が続いてしまっていますね。

オリンピック・パラリンピックの検討も行われていますが、「国民の多くが中止か延期って言ってるのに、オリンピックやるのっておかしくない?」という空気の中、進めていく人たちは大変なことと思います。私自身は個人的に、選手たちが練習もままならないくらいの状況にならない限り開催は可能だと思っています。それ以上に、MGCなど厳しい競争を経て出場権を獲得したマラソン選手たち、死闘と言える戦いを経て出場権を獲得した柔道選手やレスリングの選手たち、少ない枠の中で必死に出場権をつかみ取った卓球の選手たちの姿を見て、「大変な時期にオリンピックなんかやっている場合か?」なんて、とても言えません。今までスポーツから感動をもらってきた一人として、アスリートファーストで考えて、応援したいと思っています。

今回も前置きが長くなりましたが、本題へ入りたいと思います。1月27日にIPA(情報処理推進機構)より「情報セキュリティ10大脅威 2021」が発表されました。また、詳細な説明がされている「解説書」も2月26日に公開されています。

2020年に発生した、社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

「個人」と「組織」における脅威がそれぞれ10位まで提示されていますが、本投稿では組織における脅威について、個人的に気になるポイントにふれていきたいと思います。

「ランサムウェアによる被害」が5位から1位に浮上

ランサムウェアによる被害は以前から10大脅威の常連として存在しますが、前回の5位から1位に上昇しています。

以前はデータを復旧することと引き換えに金銭を要求される被害が主でしたが、最近ではこれに加えて、データの暴露を行うと脅迫される事例も見られます。以前はランサムウェア対策としてデータのバックアップが有効でしたが、データの暴露というリスクにも対策していかなければならない点で、非常に厄介な存在になっています。

「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場

これは皆さんも頷けるのではないでしょうか。コロナ禍でテレワークへのシフトを余儀なくされた企業は多く、社外から社内ITを利用できる仕組みを突貫でつくったり、既に存在する場合もキャパシティを拡張したりしてきたと思います。ここにセキュリティ対策の甘さが生じる可能性は高く、攻撃者はそういう弱いところを突いてくるのが常です。

短期間で慌てて実装した場合は、今からでもいいのでセキュリティリスクの見直し、対策のチェックを行うことをお勧めします。

「インターネット上のサービスへの不正ログイン」が16位から8位に浮上

私が個人的に最も気になっているポイントがこれです。いろいろな要因があるのかもしれませんが、私は企業の「緩み」を感じています。

私自身の過去の記憶からたどっていきますと、2012年くらいまではセキュリティに無頓着な企業が非常に多かったのを覚えています。セキュリティ対策を推奨しても、当時はまったく響きませんでした。しかし、2013年あたりから1件のインシデントで漏洩人数が100万人を超えるような大規模インシデントが複数回発生するようになり、そこから各企業のセキュリティへの意識が高まったと記憶しています。

ちょうどその頃、クラウドサービスが実用可能になってきていましたが、セキュリティへの意識が高まった企業では「クラウドなんか怖くて使えない」という姿勢が多く見られました。私自身、「適切なサービスを選択し、適切な対策を講じていれば、クラウドサービスの方が逆に安心な場合もある」と伝えてきましたが、クラウドに慎重な姿勢を見せていた企業は非常に多かったのを覚えています。

しかし、そこから徐々にクラウドサービスへの抵抗感はなくなってきました。少しずつクラウドサービスを活用する企業も増えてきて、その事例を見て安心感が増したのかもしれません。徐々にクラウドサービスの導入が増えてきて、今は当たり前のようにクラウドサービスが活用されています。

しかし、現状は少し緩みすぎではないかと思う場面もあります。セキュリティ対策が不十分な状態で利用していますし、十分な検討を経て判断したようにも思えないからです。ここは、攻撃者にとっては狙い目です。

クラウド認証基盤を設けてクラウドサービスの認証を一元化するまでいかなくとも、クラウドサービス導入検討時のセキュリティリスク整理や対策のプロセスを確立する等の仕組みづくりは、最低でも必要ではないかと感じる今日この頃です。