松田 幸裕 記
1月24日にIPA(情報処理推進機構)より「情報セキュリティ10大脅威 2024」が発表されました。
「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
「個人」と「組織」における脅威がそれぞれ10個提示されていますが、本投稿では組織における脅威について、個人的に気になるポイントに触れていきたいと思います。
図:10大脅威2020~2024の推移
上図は、弊社メンバーが作成した過去5年間の推移です。これを基に、いくつかのポイントに触れていきます。
ランサムウェアは不動の1位
2021年以降、ランサムウェアの脅威は1位を継続しています。元々は「暗号化を解除してほしければ金をよこせ」というやり方でしたが、二重脅迫、三重脅迫と形を変え、脅威は増すばかりです。ランサムウェアについては様々なところで取り上げられているため、ここでは軽く触れるにとどめますが、引き続き警戒しなければならない脅威ですね。
内部の脅威増大
「内部不正による情報漏えい」、「不注意による情報漏えい等の被害」など、組織の内部を要因とした脅威がじりじりと上がってきています。順位は人が決めているため、例えば4位から3位に上がった明確な根拠というものはないと思いますが、日々セキュリティに向き合っている人たちが重要性を判断した結果として脅威が高まっているということなので、注意が必要だと思います。
セキュリティ対策というとどうしても外部からの攻撃に目を向けてしまいがちですが、改めて「内部の脅威にはどのようなものがあるのか?」を考え、十分に対策できていない場合は対策を検討すべきだと思います。
ニューノーマルな働き方を狙った攻撃リスクの低下
「テレワーク等のニューノーマルな働き方を狙った攻撃」が、昨年の5位から9位に下がっています。単純に、コロナ禍が落ち着いたことによるものだと思いますが、脅威として下がっていても対策としてはぜひ継続していただきたいと思っています。
テレワーク等の柔軟な働き方は、コロナ禍のみでなく、様々な場面で今後必要になります。別の感染症、台風、ゲリラ豪雨、熱波、地震、育児や介護など、様々な要因で必要になってくると思いますので、「どのように柔軟な働き方ができるようにするか」、「その中でどのようにセキュリティ対策をするか」を考え続ける必要があると思います。
以上、いくつかポイントを挙げましたが、根本的な問題として「個人情報や機密情報を買う人がいる」というものをどうにかしたいところです。少し話がそれてしまいますが、チケットの転売が問題になったりしていますよね。これらも含め、高額で買う人がいるから売る人が出てくるので、買う側も一定の倫理観を持って買うようにすることが、これらの脅威を下げることにつながるのではないかと、改めて思った次第です。