「情報セキュリティ10大脅威 2024」から組織が取るべき対策を考える
はじめに
IPA(情報処理推進機構)より、「情報セキュリティ10大脅威2024」が発表されました。前年に大きな影響を与えた情報セキュリティ事案からIPAが脅威候補を選出し、セキュリティ研究者や企業担当者など約200名からなる「10大脅威選考会」で審査投票を行い、その結果を毎年発表しているものです。項目は個人編、組織編と大別され、脅威の解説と事例、対処すべき情報が掲載されています。今回はこの発表に基づき、組織編で目立った脅威とその対策について解説していきます。
セキュリティ10大脅威2024(組織編)概要
今回発表された10大脅威について、2020年発表時点(コロナ禍以前)からランキングの推移をグラフ化し、脅威の種類を分けてみました。以後、コロナ禍前後の違いや、脅威の種類毎に考察していきます。
■コロナ禍以前からの脅威
推移を見ると「ランサムウェアによる被害」、「サプライチェーンの弱点を悪用した攻撃」、「内部不正による情報漏えい等の被害」「標的型攻撃による機密情報の窃取」が、コロナ禍以前から変わらず上位を占めています。これらの脅威は以前から認識されているため、すでに対策を行っている企業も多いと考えられます。しかし年々、攻撃手法はより巧妙に、複雑に、高度に進化しているため、構築したセキュリティ対策が攻撃の進化に追いつけていないことが上位に留まっている要因の一つと言えるかもしれません。日頃からサイバー攻撃の情報を注視し、適宜セキュリティ対策の再検討やアップデートを継続して行うことが必要です。
「ビジネスメール詐欺による金銭被害」もコロナ禍以前からあり、セキュリティ10大脅威(個人編)にも脅威として取り上げられています。心理的な隙に付け込む手口のため技術的な対策が難しいことがありますが、従業員への注意喚起の徹底や、メールによる詐欺被害の可能性があるという意識が社会全体で醸成されてきたことが下位に変動している理由と言えるかもしれません。
■コロナ禍後に現れた脅威
「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」、「脆弱性対策情報の公開前に伴う悪用増加」、「テレワーク等のニューノーマルな働き方を狙った攻撃」、は、コロナ禍を機に現れた脅威としてみることができます。その理由はいくつか考えられます。まずコロナ感染拡大の防止として政府や自治体がテレワークを推奨したことで、急遽テレワークを導入した企業が多かったことがあげられます。セキュリティ対策が十分に行われていないエンドポイントやネットワーク環境が、攻撃の対象になりやすかったと考えられます。またテレワークでは従来のオフィス環境よりも多様なアプリケーションやクラウドサービスの利用により攻撃対象が増えたことも理由の一つといえるでしょう。
■外からの攻撃、人に起因する脅威
外からの攻撃に起因する脅威と、人に起因する脅威と大別して見た場合、人による起因が上がっていること(赤の点線部分)が傾向として見ることができます。「外からの攻撃に起因する脅威」「人に起因する脅威」に分け、それぞれ企業や組織に有効な対策をみていきましょう。
外からの攻撃に起因する脅威への対策
外部からの攻撃はネットワークを経由して行われ、サプライチェーンを巻き込んだインフラ、社内システム、企業が利用しているクラウドサービス、各個人が利用しているエンドポイントなど、目的に応じて攻撃対象もさまざまです。2023年は特に「ランサムウェア」が猛威をふるい、ウイルス感染・不正アクセスの事故はこれまでで最多の93件が発覚しました(参照元:東京商工リサーチ)。
また、大手インターネット企業やホテル予約サービスでサプライチェーン攻撃も報告されています。特にサイバー攻撃の侵入口として狙われやすいエンドポイントは、セキュリティソフトの利用やアップデートを忘れずに行うことが大切です。また万が一、外部からのサイバー攻撃を受けた場合には、早期検知と迅速な対応が重要となります。例えば社内外のエンドポイントを常に監視しておき、マルウェアなどによる不審な挙動を検出した場合には、該当端末を速やかにネットワークから遮断し隔離することなどが被害を最小に抑える対策となります。このような対策を可能にする仕組みに「EDR/NGAV」があります。
エンドポイント管理もOSや機種の多様化により管理が煩雑になっています。セキュリティアップデートをユーザー任せにしている企業も多いことから攻撃対象になりやすく、コロナ禍後に表出した脅威は、この脆弱性を狙ったものです。この対策の一つとして、エンドポイントを一元管理し、アップデートやセキュリティパッチの適用をリモートで行う「UEM」があります。
人に起因する脅威への対策
組織内部から漏えいしたインシデントの報道が相次いでいることからも、人に起因する脅威の注目度が上がっています。昨年も、内部不正による情報漏えいとして、顧客データをUSBメモリに抜き取り名簿業者に提供していたり、派遣社員が業務で得たメールアドレスに対し機密情報を流していたことが事件として取り上げられました。
不注意による情報漏えいも後を絶ちません。被害事例として、メールの送信先を間違えた、機密情報をメールに添付した、クラウドに機密情報をアップロードした、また機密情報が入ったUSBメモリ、スマートフォン、PCの紛失など、「うっかりミス」も多く、これが甚大な被害につながることも起こり得ます。
人が起因する脅威への対策は、故意、不注意のどちらにも対応できることが望ましいです。社員へのセキュリティ教育や、持ち出しPCや機密情報の管理強化といった運用面の施策はもちろんですが、ITの活用で人が意識せずに被害防止につながる対策もあります。
その一つはサーバーやファイルへのアクセス権限を適切かつ厳格に管理することです。本来、システム管理者はIDやアクセス権の変更を迅速に行わなければなりませんが、クラウド導入をはじめとする業務システムの多様化、外部会社と協働の増加、さらに人材の流動化が活発になっていることから、その管理の複雑さが増しています。そのため異動や退職者に対するアクセス権の変更やIDの削除といった作業が追いつかなくなり、その結果思わぬ情報漏えいに繋がることも考えられます。このような事故を防ぐためには「CASB」や「IDaaS」の導入が解決策の一つとなります。クラウドへのアクセス権限やID管理を一元化することで、管理効率が向上し迅速な対応が可能となるため、情報漏えいの未然防止に効果があります。
故意による内部不正への対策には、人の異常行動を検知し内部不正を抑止する「UEBA/SIEM」の導入もその一つです。従業員の日常業務を学習しパターン化しておき、サーバーへの異常なアクセスや不審な行動など、普段とは違う動きを素早く検知することで、被害拡大を最小限に留めることを可能にします。
まとめ
今回のIPAの発表を通じて、攻撃者が環境や状況に応じて、攻撃対象や手法を変化させていることがより明らかになりました。このことを踏まえ、組織全体を網羅する防御策が必要です。攻撃手法は年々巧妙かつ複雑に進化しているため、一度の対策実施では安全とは言えないため、定期的な見直しや検討が不可欠になります。今回取り上げられた脅威だけでなく、その他の潜在的な脅威にも注意を払い、対策自体をアップデートしていくことがセキュリティレベルの底上げに繋がっていくと言えるでしょう。今後のセキュリティ計画策定にあたり参考になれば幸いです。