SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは

個人向けでは順位付けがなしに、なぜ?


 IPA(情報処理推進機構)から『情報セキュリティ10大脅威 2024』が公開された。同レポートは、前年のセキュリティ動向から選考委員会により決定されるもので、提案書などにも活用されるなど、セキュリティ担当者にはなじみ深い資料である。2024年版の組織向け10大脅威とその対応について、トレンドマイクロのセキュリティエバンジェリストである岡本勝之氏に話を聞いた。

『情報セキュリティ10大脅威 2024』を読み解く

 2024年1月に公表された『情報セキュリティ10大脅威 2024』、今年からは個人向けについては順位表記を廃止したことが話題を呼んだ。同レポートの選考委員を務めた岡本勝之氏は、「個人向けは等しく“重要な脅威”であることを認識していただくため、順位付けをなくした。その一方、組織向けではセキュリティ対策予算が限られているため、優先度を決める参考にしたいという声が根強いため、順位付けを残している」と話す。

 組織向けで選出された脅威に目を向けると前年と変わらず、順位のみが変動している。順位を上げたのは「内部不正による情報漏えい等の被害」と「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」、そして「脆弱性対策情報の公開にともなう悪用増加」だ。

「情報セキュリティ10大脅威 2024」(情報処理推進機構)より引用
情報セキュリティ10大脅威 2024」(情報処理推進機構)より引用
[画像クリックで拡大]

 岡本氏は「10大脅威の顔ぶれは変わらず、サイバー攻撃の手口が集約されてきたことの表れだ」と指摘する。特に「ランサムウェアによる被害」が数年間にわたり1位であり、依然として被害規模は大きい。

 また、脅威によりその粒度は異なる。たとえば、ランサムウェア攻撃には、サプライチェーンの弱点を悪用した攻撃が含まれ、ゼロデイ攻撃や脆弱性の悪用なども行われる。「既にランサムウェアは『RaaS(Ransomware as a Service)』としてビジネス化されているなど、10大脅威はそれぞれの関連性が強い」と岡本氏。実際にランサムウェアの被害にあった小島プレス工業や大阪急性期・総合医療センターへのサイバー攻撃は、サプライチェーンの弱点を悪用した攻撃だ。2位にランクインしているようにサプライチェーンの弱点を突くような攻撃は増加の一途を辿っており、自組織のセキュリティ対策に尽力しているだけでは十分と言えない状況に変わってしまった。

 また、10大脅威は“内的要因”と“外的要因”に大別できるとも岡本氏は述べる。前者は、内部不正や設定ミスなど不注意によるもの、それら以外は外部からの攻撃(外的要因)と基本的に考えられるからだ。もちろん、前述したランサムウェア攻撃のように複数の要因(攻撃)が連鎖するケースも多いが、しっかりと脅威を切り分けることで10大脅威にランクインした脅威ごとに対策を講じるのではなく、より本質的な対策へと目を向けられるだろう。

 なお、2024年のランキングを俯瞰した岡本氏は「フィッシング」が見受けられないとして、「あらゆる攻撃のきっかけとなることはもちろん、近年増加している『ビジネスメール詐欺(BEC)』の被害金額も莫大だ。解説編で補足されるかもしれないが、啓発は欠かせない」と指摘する。

 加えて、最近ではVPN経由による侵入が大きな被害につながりやすいという。メールを攻撃に用いる場合は相手が引っかかることを待つしかないが、ネットワーク機能の脆弱性を見つけてしまえば能動的に侵入できる。そのため多くの攻撃者が脆弱性を探すような状況に移り変わってきた。

次のページ
「10大脅威」をセキュリティ対策にどう活かすべき?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19382 2024/03/28 20:25

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング