情報セキュリティ10大脅威 2020

代表の山中です。

 

IPAが公開している「情報セキュリティ10大脅威 2020」より組織編1-5位を以下に抜粋。

 

「引用元」

・独立行政法人 情報処理推進機構(IPA)

・情報セキュリティ10大脅威 2020

・https://www.ipa.go.jp/security/vuln/10threats2020.html

 


第1位 標的型攻撃による機密情報の窃取

企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生している。

2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道があった。

 

第2位 内部不正による情報漏えい

組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。

また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。

内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。

 

第3位 ビジネスメール詐欺による金銭被害

ビジネスメール詐欺

ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口である。

海外だけではなく日本国内でも高額な被害が確認されている。

 

第4位 サプライチェーンの弱点を悪用した攻撃

委託会社からの漏洩

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。

また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。

昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生している。

 

第5位 ランサムウェアによる被害

ランサムウェア

ファイルの暗号化や画面ロック等を行うランサムウェアに感染し、PC(サーバー含む)やスマートフォンに保存されているファイルを利用できない状態にされ、復旧と引き換えに金銭を要求される被害が発生している。

不特定多数に対して行う攻撃だけではなく、特定の国や組織を狙う標的型攻撃に近い攻撃も行われる。


 

第2位の内部不正による情報漏えいは、セキュリティ管理者を悩ませます。

セキュリティ担当者は信用できる者にしか任せられません、一度でもごまかしたり嘘をついた者は除外すべきでしょう。

私は具体的な攻撃方法や重要な部分のセキュリティ環境は社内の者に研修や説明はしたことはございません。

一般的な知識研修や業務ルール展開は行いますが、知らなかったことを知ると悪意の誘発や脆弱性の露見に繋がるのではないかと考えます。

掲載はしておりませんが、「第7位 不注意による漏えい」があります、機密情報や個人情報を社外持ち出しして電車に忘れるなどのケースです、こういったことは業務ルールの徹底でカバーできます。

これよりも上位に内部不正がきていることは注視すべきだと存じます。

 

第4位のサプライチェーンの弱点を悪用した攻撃は、アウトソーシング業を提供している者として残念な思いですが、”安かろう悪かろう”な業者が多数存在するのが現実です。

情報管理の意識が高い業者の見つけ方として、「Pマーク」があります。

「Pマーク」取得会社にのみアウトソーシング契約する運用に多数の会社が切り替わっております。

ただ、「Pマーク」取得会社の個人情報漏洩事件もございます。

 

また、”高かろう悪かろう”な業者も存在します。「Pマーク」取得会社として高品質高単価を謳っているが実際は孫請け会社が案件遂行しているケース。

委託先会社が適切な情報管理、運用をしているか、再委託していないか、「委託先調査」および「個人情報の取扱いに関する契約」などを交わすことが大事です。

 

私見で申しますと、現場の人間に意識があるかどうかが重要です。

「Pマーク」の運用は代表が行っているわけではありません、言ってしまえばセキュリティ知識、意識の乏しい代表が多いのではないでしょうか。

私は他社で「Pマーク」を取得したのですが、1人でコンサル未使用自力取得いたしました。

今後、取引規模拡大できれば法人化(設立登記)いたしますので、そうなれば「Pマーク」取得する予定でおります。