SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

IPAに聞く2023年『情報セキュリティ10大脅威』(組織編)の特徴─中小企業も、まずはできる対策を

 情報処理推進機構(IPA)から毎年公表されている『情報セキュリティ10大脅威』。社会的に影響が大きいと考えられる情報セキュリティ事案から、IPAが脅威候補を選出し、セキュリティ分野の研究者や企業の実務担当者など約200名の「10大脅威選考会」が審議・投票を行い、決定したものだ。特に2022年は大企業だけでなく、中小企業を経由したサプライチェーン攻撃による被害が顕著に見受けられた。2023年の特徴と、企業が取るべき対策とは。同レポート編集担当者であるIPAの内海百葉氏、土屋正氏から話を聞いた。

3年連続で1位となったランサムウェア

──今年の10大脅威(組織編)の特徴について、教えてください

内海百葉氏(以下、内海)まず、ランクインしている顔ぶれはあまり変わっていません。ただ、順位自体は少々変動しています。もっとも、「ランサムウェアによる被害」については3年連続で1位となっており、毎年どこかしらの企業や組織が被害を受けていることから世間からの注目度も大きく、新聞やテレビなどの報道も数多くなされています。

IPA セキュリティ対策推進部脆弱性対策グループ 内海百葉氏
IPA セキュリティ対策推進部脆弱性対策グループ 内海百葉氏

 そのため、『情報セキュリティ10大脅威 2023』を選考した委員の方々からすると、注目度やセキュリティに関する有識者としての知見をもとにランク付けしていることから、その大きな危機感ゆえにこうした順位になっていると考えられます。

 そして、今回注目したいのが「サプライチェーンの弱点を悪用した攻撃」の順位です。こちらは昨年3位でしたが、今年は1つランキングを上げて2位となっています。その要因として2022年に発生した、大企業の関連会社が被害を受けていることが影響していると思われます。

図:『情報セキュリティ10大脅威 2023』より引用
図:『情報セキュリティ10大脅威 2023』より引用

 他に順位が上がった項目としては、4位の「内部不正による情報漏えい」や、9位にランクインしている「不注意による情報漏えい等の被害」など、一見すると“ITとはちょっと絡んでなさそう”ではあるものの“情報セキュリティには絡む”脅威に関しては、少しずつランキングが上昇しています。

 たとえば、「役員が転職時にデータを持ち出した」といったものや不注意の例で言うと「業務の再々委託先でUSBを紛失した」といった事例などがありました。これらは新聞やテレビ報道も頻繁に行われることで世間からの注目も浴びやすいですし、また組織にもたらす危険性も高い。そのため、順位が上がっているものと思われます。

 なお、昨年比で今回新しくランクインしている「犯罪のビジネス化(アンダーグラウンドサービス)」に関しては、なんらかのニュースが話題になったため、ランクインしたということではないと見ています。たとえば、RaaS(Ransomware as a Service)のようなサイバー攻撃のサービス、攻撃に使用できる個人情報や犯罪ツールがダークウェブで出回るといった事例があるため、そういった点で少し注目度が上がった可能性があります。

 とはいえ、この「犯罪のビジネス化」も新しい脅威ではありません。2018年にもランキング入りしていた脅威ですので、何か差し迫った新しいものが出てきたというわけではありません。

次のページ
あらゆる脅威に通づるランサムウェア

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(ニシズミ ヒデト)

元EnterpriseZine編集部(2024年3月末退社)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17501 2023/03/29 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング