毎年、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威」を発表しています。今年も、多くの注目を集めるこのレポートには、どのような脅威がランクインしているのでしょうか。
■個人向けの脅威
まず、個人に対する脅威について見てみましょう。2024年の10大脅威は、順位付けではなく五十音順に並べられています。これは、順位に関わらず各脅威に対する対策が重要であることを強調するためです。
2020年に初めて選ばれた「スマホ決済の不正利用」と「偽警告によるインターネット詐欺」は、利便性と引き換えにセキュリティリスクが伴う典型的な例です。スマホ決済やオンラインサービスは非常に便利ですが、適切なセキュリティ対策が不足している場合、利用者は簡単に攻撃の標的となります。ユーザーが利便性を追求するあまり、セキュリティ設定や注意深さを怠ることが多く、これが不正利用や詐欺のリスクを高める要因となっています。
■組織向けの脅威
次に、組織が直面する脅威について見てみましょう。2024年のレポートでは、「ランサムウェアによる被害」が9年連続で第1位に選ばれています。続いて、「サプライチェーンの弱点を悪用した攻撃」が6年連続で第2位、「内部不正による情報漏えい等の被害」が9年連続で第3位にランクインしています。
ここ2~3年で新たに注目されるようになった脅威として、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」と「テレワーク等のニューノーマルな働き方を狙った攻撃」があります。これらはいずれも脆弱性を狙った攻撃であり、セキュリティ管理の難しさを浮き彫りにしています。
テレワーク環境では、従業員が企業ネットワーク外からアクセスすることが増え、従来の境界型セキュリティモデルが効果を発揮しにくくなっています。ゼロデイ攻撃も、システムやソフトウェアの未発見の脆弱性を突くため、防御が難しいです。これらの脅威は、企業のセキュリティ管理が従来の手法では対応しきれないことを示しています。
「情報セキュリティ10大脅威」2024年版を見ると、情報セキュリティの対策に“万全”はなく、脅威は日進月歩で進化していることが分かります。特に、業務をクラウド化している企業や団体が増加する中、社内のルールや規程を定期的に見直し、情報更新を行うことの重要性が再確認されました。
皆さんも、IPAの「情報セキュリティ10大脅威」を参考にし、最新のセキュリティ対策を講じることで、自身や組織の安全を守りましょう。