IPA 「情報セキュリティ10大脅威 2021」を解説!ICT未来図編集部の予想が的中!?

セキュリティ

今年も情報処理推進機構(以下IPA)から「情報セキュリティ10大脅威 2021」が発表されました。

こんにちは!YamaSanです!
今回のコラムでは「情報セキュリティ10大脅威2021」の解説と、セキュリティ対策についてご紹介していきたいと思います。

2021年のランキングはこちら。YamaSanの予想はあたったのか?

昨年2020年は新型コロナウイルスの流行により、多くの企業でリモートワーク(在宅勤務)が取り入れられ、大きな変化のある年でした。
これにより、「情報セキュリティ10大脅威 2021」では、いままでランクインしていなかった脅威が新たにランクインするなど、10大脅威にも大きな変化が見られました。

IPA公開「情報セキュリティ10大脅威 2021年」
順位 脅威 前回の順位
1位 ランサムウェアによる被害 5位
2位 標的型攻撃による機密情報の窃取 1位
3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
4位 サプライチェーンの弱点を悪用した攻撃 4位
5位 ビジネスメール詐欺による金銭被害 3位
6位 内部不正による情報漏えい 2位
7位 予期せぬIT基盤の障害に伴う業務停止 6位
8位 インターネット上のサービスへの不正ログイン 16位
9位 不注意による情報漏えい等の被害 7位
10位 脆弱性対策情報の公開に伴う悪用増加 14位

前回のコラムでは私YamaSanによる2021年の10大脅威を公開しましたが、まさか1位の「標的型攻撃による機密情報の窃取」が2位に陥落するとは予想だにしませんでした・・・。
たしかにランサムウェアによる被害はニュースでも良く取り上げられていたと思います。
テレワーク環境を狙った脅威は予想通りランクインしていますね。(「テレワーク等のニューノーマルな働き方を狙った攻撃」)
最近では、新型コロナウイルスによって生じた社会変化を狙った脅威が増加しています。

YamaSanさんが考える「情報セキュリティ10大脅威2021」
順位 脅威
1位 標的型攻撃による被害
2位 脆弱なテレワーク環境を狙った脅威(NEW
3位 ランサムウェアによる被害
4位 内部不正による情報漏えい
5位 企業を標的とするフェイクニュースの拡散(NEW
6位 IoT機器の不正利用(5Gによる大規模化)(NEW
7位 多要素認証技術を突破する新たな脅威(NEW
8位 予期せぬIT基盤の障害に伴う業務停止
9位 不注意による情報漏えい(規則は順守)
10位 ビジネスメール詐欺

そこで今回は「情報セキュリティ10大脅威 2021」にランキングされた脅威に共通するセキュリティ対策を、3つのポイントに絞って説明します。

セキュリティ教育

セキュリティ事故発生の1つに社員による知識および意識不足があげられます。

例えば、1位の「ランサムウェアによる被害」や2位の「標的型攻撃による機密情報の窃取」はメールのマルウェアが添付されたファイルを誤ってクリックし、マルウェアに感染します。「身に覚えのないメールは開かない」「添付ファイルやURLリンクを安易にクリックしない」などを社員に周知する必要があります。

また、セキュリティ教育は定期的な実施と更新が必要です。

ここでいう定期的な更新とは、今回の10大脅威の様に時代に合わせて教育内容を更新することです。
第3位にランクインしている「テレワーク等のニューノーマルな働き方を狙った攻撃」について考えてみましょう。テレワークによりWeb会議が増えた方も多いのではないでしょうか。そこに潜んでいる脅威として、Web会議のURLの流出により部外者が会議に参加し、いつの間にか会議の内容が盗聴されるという脅威があげられます。

社員へのセキュリティ教育としては、「会社が許可したWeb会議ツールを使用の上、会議用URLは使いまわしをせず、必要時には会議にパスワードを設ける」などの内容を盛り込む必要があります。

物理的な対策

引き続きマルウェア(ランサムウェアを含む悪意のあるウイルス)の被害がランクインしています。
PCには必ずウイルス対策ソフトを導入し、最新の定義ファイルが常に適用されているようにしましょう。

今では検出状況をクラウド管理できるものや、EDR(Endpoint Detection and Response)とよばれる次世代型のウイルス対策ソフトも登場しています。従来では、社内ネットワークに接続しないと定義ファイルの最新化が難しいケースがありました。しかし、昨今のウイルス対策ソフトではクラウド管理なので、どこで使っていても定義ファイルを最新の状態に保てます。
そして、管理画面がクラウド上に存在するため、システム管理者は自宅からでも従業員のPCの管理が可能になります。ウイルス対策ソフトも、働き方に合ったものにする必要があります。

また、エンドポイントPCだけでなく、サーバなどのIT基盤への対策も必要です。重要な電子データのバックアップを定期的に行いましょう。1位の「ランサムウェアによる被害」では、ファイルやデータを暗号化されてしまい、利用できなくなる恐れがあります。暗号化されてしまうと、元に戻せる確証はありません。そのため、定期的なバックアップが必要となります。

また、7位の「予期せぬIT基盤の障害に伴う業務停止」では台風や地震などによりIT基盤が停止してしまい、業務影響があるといった被害です。この脅威にはデータのバックアップだけでなく、物理的に離れた場所に予備設備を有するといった備え方も有効的です。

人的な対策

前述2つの対策をどんなに施していても、万が一というのは発生し得ます。万が一の事態における、対応方法は決まっていますでしょうか。テレワーク時は社内とは異なり、コミュニケーションが希薄になりがちです。インシデント発生時、社員がどこに連絡すればよいのか、また既存のインシデント対応フローがある場合は、テレワークにも適用可能なのかを見直す必要があります。インシデント対応フローについては、セキュリティ教育で周知を行いましょう。

また、インシデント発生時、ベンダーへの連絡手段(メールや電話)など、社外とのやり取りをどのように行うかを確認しておくことも非常に大切です。

まとめ

2020年から働き方が大きく変わりました。セキュリティ脅威は世の中の情勢に合わせて変化するといわれていますが、まさに今回のランキングはこれを象徴するものではないでしょうか。これからのセキュリティ脅威のトレンドや、脅威への対策を社内でディスカッションしてみるのもいいかもしれませんね。

今後もICT未来図ではセキュリティにまつわるコラムを掲載していきますので、ぜひご覧ください。

セキュリティに関するお問い合わせはこちらから

Cyber NEXT ロゴ
~安心安全なセキュリティをあなたのもとへ・・・「Cyber NEXT」~

お問い合わせ

関連記事一覧