2020年の情報セキュリティ脅威TOP10を詳しく解説!今知っておくべきリスクとその対策とは?
情報処理推進機構(以下IPA)が「情報セキュリティ10大脅威」の2020年版を発表しました。「情報セキュリティ10大脅威」は、厳選された約140人の専門家が審議を行い、決定したランキングです。今回は「組織編」の10大脅威について一つずつ紹介しつつ、解説していきます。
関連記事はこちら
情報セキュリティ10大脅威 2020年のランキング
- 「標的型攻撃による被害」が5年連続1位にランクイン
- さまざまな仕掛けで発見を遅らせる
情報セキュリティ10大脅威 2020年のランキング | |
1(1)位 | 標的型攻撃による機密情報の窃取 |
2(5)位 | 内部不正による情報漏えい |
3(2)位 | ビジネスメール詐欺による金銭被害 |
4(4)位 | サプライチェーンの弱点を悪用した攻撃 |
5(3)位 | ランサムウェアによる被害 |
6(16)位 | 予期せぬIT基盤の障害に伴う業務停止 |
7(10)位 | 不注意による情報漏えい(規則は遵守) |
8(7)位 | インターネット上のサービスからの個人情報の窃取 |
9(8)位 | IoT機器の不正利用 |
10(6)位 | サービス妨害攻撃によるサービスの停止 |
出典:https://www.ipa.go.jp/security/vuln/10threats2020.html
全体的には2019年の結果と大きな違いはありませんが、唯一6位の「予期せぬIT基盤の障害に伴う業務停止」のみ、昨年度16位から新たにランクインしています。昨年はネットワークの大規模障害や、大手クラウド基盤の障害により、多くのサービスが影響を受けました。実際に被害に遭った方も多いのではないのでしょうか?その他を見てみると1位から5位までは昨年と変わらず、特に1位の「標的型攻撃による機密情報の窃取」は2016年より5年連続で1位となっています。ランキングそのものはあまり変わっていませんが、攻撃手法は年々進化しており、最近では「ファイルレス」と呼ばれる高度な手法を使った攻撃も増えています。ランキングの見た目だけに踊らされず、ポイントを理解し対策を考え実践することが大事です。それでは、脅威を一つずつ見ていきましょう。
2020年 情報セキュリティ10大脅威ランキング(組織編)
10位:サービス妨害攻撃によるサービスの停止
ターゲットとする企業のサーバーに大量の負荷をかけ、DDoS攻撃でサービスが正常に稼働しない状態、または停止状態に追い込むものです。
国際的なスポーツイベント時に合わせ、このDDoS攻撃が確認されたこともあります。5Gが本格的にサービスインする今年、DDoS攻撃の被害が拡大することが懸念されています。
<セキュリティ対策>
不正な通信の監視および通知 など
<お役立ち情報>
サービス名:CEC SOC for トレンドマイクロDDI
9位:IoT機器の不正利用
脆弱なIoT機器を踏み台として、不正アクセスやDDoS攻撃(分散型サービス拒否攻撃)を行う脅威です。
5Gが今年から本格的に始動するため、これを使ったIoT機器が増えてくると考えられます。2019年には、かつて猛威を振るったMiraiと呼ばれるマルウェアの亜種が確認されており、IoT機器を狙ったサイバー攻撃に対しさらなる注意が必要です。監視カメラ、ルーター、IP電話といったIoT機器はもちろん、IoT機器に接続されたサーバーやネットワーク機器へのセキュリティ対策も必要です。
<セキュリティ対策>
脆弱な設定をついた不正アクセス対策
ネットワーク全体の脆弱性診断
など
<お役立ち情報>
サービス名:脆弱性診断サービス
8位:インターネット上のサービスからの個人情報の窃取
主にECサイトで不正アクセス、ログインを行い、登録ユーザーの個人情報を窃取する脅威です。
利用者に対し、ほかのサービスで利用しているパスワードを使わないよう注意喚起するとともに、企業側では多要素認証、二段階認証などを実装することが重要です。
<セキュリティ対策>
パスワードの見直し(複雑なパスワードにし、複数のサービスで使い回さないなど)
二段階認証、多要素認証の実装
など
<お役立ち情報>
サービス名:セキュリティポリシー策定支援サービス
7位:不注意による情報漏えい(規則は順守)
従業員がセキュリティに関する規則を遵守してはいても、操作ミスによるメールの誤送信、スマートフォン、タブレットなどモバイル端末の置き忘れなどは起こりえます。こうした従業員の不注意によって引き起こされる情報漏えいも、企業にとって大きな脅威の一つです。
従業員へのセキュリティ教育の徹底とともに、モバイル端末管理ツール、メール誤送信ソリューションの導入が欠かせません。ただし、人的ミスをゼロにすることは困難なため、あらかじめ事故が発生してしまった時のフローや体制を整えておくことも求められます。
<セキュリティ対策>
セキュリティポリシーの策定/見直し
など
<お役立ち情報>
サービス名:セキュリティポリシー策定支援サービス
6位:予期せぬIT基盤の障害に伴う業務停止
クラウドサービスやデータセンター、ネットワークなどに予期せぬ障害が発生することで業務が滞ってしまうリスクです。2019年版ではこの脅威は16位でしたが、台風など自然災害によって多くの企業が実際に大きな影響を受けたこともあり、注目を集めました。企業のクラウド化が進むなか、クラウドに障害が起これば多くの企業で損害が発生するでしょう。これを避けるには、BCP/DR対策の策定が必要です。
<セキュリティ対策>
BCP/DR対策の策定
など
<お役立ち情報>
サービス名:セキュリティアセスメント
5位:ランサムウェアによる被害
ランサムウェア(ファイルの暗号化や画面ロックなどを行う身代金型マルウェア)を使い、サーバーやパソコン内のファイルを利用できない状態にし、復旧を引き換えに金銭を要求することを指します。
近年のマルウェアは、ファイルレス化(シグネチャを持たず、メモリー上で動作すること)が進み、従来のウイルス対策ソフトでは検知が困難です。また、近年猛威を振るっているマルウェア「Emotet」を通じてランサムウェアに感染するケースが確認されるなど、感染経路が複雑化しています。
<セキュリティ対策>
ランサムウェアを含むマルウェア対策 など
<お役立ち情報>
サービス名:Deep Security IT Protection Service
サービス名:Sophos Intercept X Advanced with EDR(テレワークキャンペーン)
4位:サプライチェーンの弱点を悪用した攻撃
「サプライチェーン」とは、製品やサービスが消費者の手に届くまでの全プロセスのつながりを指します。このサプライチェーンの中で、セキュリティ対策が手薄な取引先を入り口にサイバー攻撃を仕掛け、ターゲットとする企業から機密情報を窃取するというものです。自社だけでなく、原材料の調達から販売までの取引先、関連会社すべてに対し、セキュリティ教育の徹底を行うことが重要です。また、関連会社間がネットワークで繋がっている場合も多いため、不正に侵入されないシステム設計や、通信内容を監視するなどの対策を行うことが求められます。
<セキュリティ対策>
関連会社間での情報セキュリティ対策の確認や遵守事項の徹底
など
<お役立ち情報>
サービス名:CEC SOC forトレンドマイクロDDI
サービス名:マネージドフラットサービス
3位:ビジネスメール詐欺による金銭被害
会社の関係者や取引先になりすまし、偽メールで攻撃者の口座に入金させる金銭被害が後を絶ちません。メールに「至急」「極秘」などと書き、読み手を焦らせて不安を煽ることが特徴の一つです。また、実際の取引先のメールアドレスから、実存するメールの返信として攻撃メールが送信されることもあり、注意が必要です。
送金を促すメールが来たら1人で判断せず、必ず複数で確認することが求められます。
<セキュリティ対策>
従業員への情報セキュリティ教育
2位:内部不正による情報漏えい
従業員や元従業員など内部の人間が機密情報を持ち出して悪用、不正行為を行うという情報漏えいが多発しています。また、従業員が情報管理のルールを守らずに自宅や外出先に持ち出し、その情報を紛失してしまい、情報漏えいにつながることがあります。
対策として、入退出管理の徹底、アクセス権限の管理のほか、重要情報が保管されているエリアでのログ監視も欠かせません。また、退職、異動をした従業員のアカウント削除も重要です。
<セキュリティ対策>
物理セキュリティ対策(入退室管理など)
情報資産へのアクセス管理 など
<お役立ち情報>
サービス名:SmartSESAME PCログオン
サービス名:SecureCross Factory
1位:標的型攻撃による機密情報の窃取
標的型攻撃とは、特定の企業、官公庁などを狙い、個人情報や機密情報などを窃取することを目的とした攻撃のことです。
標的型攻撃で代表的なものとしてメール攻撃があります。攻撃者は関係者を装い、悪意のあるサイトのURLを記載したり、マルウェアを含んだファイルをメールに添付したりして、受信者の機密情報を詐取します。これを防ぐためには、ウイルス対策ソフトの導入などはもちろん、従業員に対するネットリテラシー教育の徹底も重要です。
<セキュリティ対策>
標的型メール攻撃対策 など
<お役立ち情報>
サービス名:BizVision メールセキュリティ
自社はもちろん周囲への啓発活動も忘れずに行うことが重要
2020年の情報セキュリティ10大脅威を見ていくと、自社のセキュリティ対策の甘さ、従業員一人ひとりの認識不足がリスクを生み出しかねないことがわかります。また、取引先、関連会社、顧客のセキュリティ対策が要因となりうるリスクも少なくありません。
ひとたび被害にあってしまえば、金銭やデータの損失だけでなく、社会的信頼まで失うことになります。日々巧妙化していく脅威に対応すべく、常にセキュリティの知識を取り入れる習慣をつけるとともに、周囲への啓発活動を積極的に行っていきましょう。この記事がセキュリティ対策を考え直す第一歩になれば幸いです。