PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

情報セキュリティ10大脅威 2024について

情報セキュリティ10大脅威 2024について

2024年1月24日に、IPA(独立行政法人情報処理推進機構)から、情報セキュリティ10大脅威 2024(https://www.ipa.go.jp/security/10threats/10threats2024.html )が公開されました。IPAからの公式の解説も2024年2月29日に公開されました。今回は、2024年の情報セキュリティに関する脅威について、弊社なりの分析と効果的な活用方法をご紹介したいと思います。

1.情報セキュリティ10大脅威 2024

情報セキュリティ10大脅威 2024は、以下の通りとなっています。

情報セキュリティ10大脅威2024[個人]

情報セキュリティ10大脅威2024個人

情報セキュリティ10大脅威2024[組織]

情報セキュリティ10大脅威2024組織

※IPA 情報セキュリティ10大脅威 2024 (https://www.ipa.go.jp/security/10threats/10threats2024.html ) より転載

今年から、個人の脅威については順位がつかなくなりましたが、公式からも「順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。」とあるように、どの脅威が危ないというよりは、個人として気をつけるべき項目を列挙した形になりました。なお、組織においては順位がついていますが、これは、昨年の社会的な影響度の大きさの順で、危険度を示すものではなく、順位に関わらず各組織毎に適切に判断し、対策を取る必要があるとされています。

また、表の10大脅威での取り扱いの項目から分かるとおり、個人、組織ともに全て2年以上連続で選出されており、全て2023と同じ内容となっています。(組織において順位の変更はあります)。新たな脅威が登場しないということは、裏を返せば現在も続く犯罪者の攻撃が成功をし続けてしまっているとも考えられます。

個人においては、偽警告によるインターネット詐欺、フィッシングによる個人情報等の詐取、メールやSMS等を使った脅迫・詐欺の手口による金銭要求、ワンクリック請求等の不当請求による金銭被害などの人の脆弱性を突いたソーシャルエンジニアリング(人の脆弱性を突いてパスワード等を盗み出す手法)が、効果を発揮してしまっている状態だと思われます。また、インターネット上のサービスへの不正ログイン、クレジットカード情報の不正利用などは、フィッシングなどで窃取された情報を悪用するケースも攻撃手法として含まれており、こちらもソーシャルエンジニアリングによる情報流出が遠因であると考えられます。これらの脅威の対策として重要なことが、一人ひとりの情報リテラシーとなります。なお、ネット上の誹謗・中傷・デマの項目は、他の項目とは少し異なっています。この項目に関しては、誰しもが被害者にも加害者にもなりうる可能性があります。対策として、発信者としての適切なモラル、受信者(閲覧者)としての情報リテラシーの向上が挙げられます。この様に、個人においては、セキュリティ技術による対策だけでなく、一人ひとりの情報リテラシー、モラルの向上といった対策が必要な項目が多く存在しています。

一方、組織においても、内部不正による情報漏えい等の被害は、担当者のモラルに起因していますし、不注意による情報漏えい等の被害、ビジネスメール詐欺による金銭被害などは不注意や詐欺といった人に起因すると思われる項目は存在しています。また、ランサムウェアによる被害、標的型攻撃による機密情報の窃取などにもメール経由での感染などが攻撃手法として挙げられており、一人ひとりの情報リテラシーの強化は組織の対策においても重要と考えられます。また、修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)、脆弱性対策情報の公開に伴う悪用増加などの脆弱性を悪用する脅威も変わらず含まれています。脆弱性を狙った攻撃は、継続して行われており、脆弱性対策は今後も重要なセキュリティ対策の1つといえます。

2.個人、組織で対策を考える

IPAでは、情報セキュリティ10大脅威 2024に伴い、2月29日に、情報セキュリティ10大脅威 2024の解説、活用法、セキュリティ対策の基本と共通対策を公開しています。これらを活用して、10大脅威への対策を行うことが重要となります。

※情報セキュリティ10大脅威
2024 https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf

※情報セキュリティ10大脅威の活用法
https://www.ipa.go.jp/security/10threats/nq6ept000000g23i-att/katsuyouhou_2024.pdf

※セキュリティ対策の基本と共通対策
https://www.ipa.go.jp/security/10threats/nq6ept000000g23w-att/kihontokyoutsuu_2024.pdf

10大脅威の解説は、1つの脅威が2ページで脅威の概要から対策までが簡潔にまとめられてり、非常にわかりやすくなっています。しかし、92ページにおよぶボリュームがあるので、全てを読んで対策する時間がすぐには取れないという方も多いと思います。そんな方は、まず「セキュリティ対策の基本と共通対策」に書かれていることがしっかりできているか確認するところから始めてみてはどうでしょうか。以下の様に7項目の複数の脅威に有効な対策がまとめられています。まずは、基本の対策を整えた上で、10大脅威に向き合っていくということができると思います。

セキュリティ対策の基本と共通対策

※IPA 情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策(https://www.ipa.go.jp/security/10threats/nq6ept000000g23w-att/kihontokyoutsuu_2024.pdf ) より転載

また、活用法では、個人や組織が自分に適切な10大脅威への対策を立てるための検討法がまとめられています。自分にとって何が脅威なのかを整理して対策するコツをつかんで有効に活用することができると思います。

3.対策技術の活用

これまで、10大脅威の傾向と活用方法についてご紹介してきました。10大脅威に限らず、セキュリティ脅威への対応には、まず、個人および組織における、セキュリティに対する意識の向上が求められます。その上で「セキュリティ対策の基本と共通対策」に述べられている基本的な対策をとることが必要です。

10大脅威の傾向で、一人ひとりの情報リテラシー、モラルの向上が重要であると述べました。不審なメールやファイル、リンクをクリックしない、正規ではないアプリなどの利用をしないなどの個人レベルの注意で防ぐことが可能と考えられる内容も多く含まれます。

ただ、犯罪者はより巧妙な手口で攻撃をしてくるため、個人(組織にいる個人も含む)レベルでは、すべての対策を講じきれないのも事実です。では、どうしたら良いか?個人レベルでは対策を講じきれないことをベースとして考えて、そうした被害にあわないように、企業側も対策を検討すべきであると思います。

例えば、弊社が開発し金融機関で配布されている不正送金・フィッシング対策の「PhishWallプレミアム」(https://www.securebrain.co.jp/products/phishwall/index.html )は、利用者のPCがフィッシングサイトへ誘導されてしまわないように金融機関の正しいサイトにアクセスしていることを表示したり、金融機関をかたるサイトへアクセスした場合に警告を出します。

また不正な取引を検知する「SecureBrain Scam Radar BD」(https://www.securebrain.co.jp/products/sbsrbd/index.html )ネット犯罪を長年研究しているセキュアブレインがその知見を活かして、顧客の特徴や振舞いを分析し、独自ロジックのビッグデータ分析で、利用者なのか犯罪者によるなりすましによる不正な取引かを判定します。このような検知システムをWebサービス事業者に提供可能です。

更に、公開されているWebページが改ざんされて有害サイトに誘導されたりすることが無いよう、常時脆弱性を管理し、万が一改ざんされた場合でも早期に検知して対策する事で被害を最少化するような仕組みを整える事も大切です。こちらについては「GRED Web改ざんチェックCloud」(https://www.securebrain.co.jp/products/gred/index.html )「GRED Webセキュリティ診断 Cloud」(https://www.securebrain.co.jp/products/gwsvc/index.html )を提供しています。

個人レベルでは防ぎきれないことを前提に、こうした企業側でも個人を守るような対策を講じることで、脅威を減少させることも可能となります。

個人も組織も同様に、自分(自社)にどのような脅威が存在しているのかを正しく認識することで、必要な対策を講じることが必要です。個人にすべてを任せるのではなく、組織としても個人を守る対策を検討することも大切だと思います。

4.まとめ

今回は、情報セキュリティ10大脅威 2024の傾向と活用方法、対策技術の活用について簡単にご紹介しました。情報セキュリティ10大脅威は、社会的に注目、対策すべき重要な脅威について多くの有識者が検討と議論を重ねて決定された非常に有用なものです。10大脅威を個人・組織のセキュリティ強化に活用頂きたいと思います。また、10大脅威の中でも示されていますが、情報セキュリティ脅威は、10大脅威に限ったものだけではありません。他にも無数の脅威があることを意識した上で10大脅威を有効なツールとして活用する必用があります。