SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

IPA「10大脅威2023」ワースト3から見る、日本のセキュリティインシデントが止まらない要因

【第1回】なぜセキュリティ被害が増えている?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。EGセキュアソリューションズの取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する新連載第1弾。今回のテーマは「なぜセキュリティ被害が増えている? IPA『10大脅威』から見る、インシデントが止まらないその要因」です。昨今、数多く報道されているセキュリティ被害について、徳丸氏がIPAの『情報セキュリティ10大脅威 2023』でランクインしたワースト3のセキュリティワードに着目。セキュリティインシデントが止まらない要因について解説します。

攻撃手段は主に3種類

 はい。実際に、世界中でランサムウェアによる被害が増えていると思います。それ以外の攻撃被害も昔からありますが、最近特に「ランサムウェア」被害が増えていると考えています。なぜ、ランサムウェアによる被害が多いかというとですね、これは攻撃者のモチベーション(動機)によります。

 攻撃者の動機は様々ですが、ある一定割合は金銭目的、もっと言えば一種のビジネスとして攻撃を実施しています。

 そのサイバー攻撃を金銭化(マネタイズ)する手法というのは昔から色々ありますが、ランサムウェアが非常に有効であるということを攻撃者側が学習をして、それが有効であるうちは特に手段を変える理由がないわけです。ゆえにランサムウェアによる被害が特に増えているということになりますね。

図:『情報セキュリティ10大脅威 2023』(2023年1月、情報処理推進機構)を参考にEGセキュアソリューションズにて作図

図:『情報セキュリティ10大脅威 2023』(2023年1月、情報処理推進機構)を

参考にEGセキュアソリューションズにて作図

 2023年1月、IPAが情報セキュリティ10大脅威の2023年版を発表しましたが、カテゴリ「組織」における上位3つは以下の順位となりました。

  1. ランサムウェアによる被害
  2. サプライチェーンの弱点を悪用した攻撃
  3. 標的型攻撃による機密情報の窃取

 この上位3つは、昨年も多少順番は入れ替わりますが同じですね。

過去5年間の10大脅威の推移 図:IPAでの発表を元にEGセキュアソリューションズにて加筆・作図

過去5年間の10大脅威の推移

図:IPAでの発表を元にEGセキュアソリューションズにて加筆・作図

 したがって近年は、この3つがセキュリティ専門家も特に注目しているということになりますが、実はこの3つは密接に関連があります。ですから、1つひとつを対策する必要はなく、むしろ一塊で見たほうがいいと思います。その理由を次に説明しましょう。

次のページ
大部分の対策は共通で済む

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17383 2023/02/27 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング