標的型攻撃昨年に続き1位

独立行政法人情報処理推進機構(IPA)は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティーに関するトピックについて、情報セキュリティー分野の研究者など約140人のメンバーからなる「10大脅威選考会」の審議・投票によりトップ10を選出した。「情報セキュリティ10大脅威2020」として順位を決定し、IPAのホームページ(https://www.ipa.go.jp/security/vuln/10threats2020.html)で公表している。

今年の組織の脅威順位の1位は昨年に引き続き「標的型攻撃による機密情報の窃取」である。IPAに設置する「標的型サイバー攻撃特別相談窓口」に対して年上期に寄せられた相談件数は221件。行政機関の業務委託先に対する標的型攻撃が報道されており、サプライチェーンも含めた注意が必要だ。

「内部不正による情報漏えい」が昨年の5位から2位に上昇した。情報機器リユース業者において、廃棄予定のハードディスクドライブ(HDD)が従業員により不正に持ち出され、ネットオークションなどで転売された。そしてそのHDD内に多くの個人情報などが残っていたことが発覚し、大きな社会問題となった。

重要情報の格納に使用したHDDは物理的に破壊、または専用のソフトウエアで適切にデータを消去した後、廃棄される必要がある。一方で、確実な廃棄の確認方法の難しさも指摘された。また、内部不正を予防するためには、経営者が積極的に関与して重要情報の管理および保護を徹底するとともに、従業員への教育などにより情報モラルを向上させることが必要だ。

復活ランクインとしては、13年の10大脅威を最後に6年間圏外だった「予期せぬIT基盤の障害に伴う業務停止」が6位に浮上した。昨年は複数の大規模自然災害や大手クラウドベンダーの人為的ミスによる長時間のサービス停止が発生した。こうした大規模システム障害が事業に与えた影響の大きさから、BCP(事業継続計画)を見直すきっかけを与えた年といえる。

手口を知り常に対策を

今年は「組織」と「個人」を合わせた20の脅威の内、17の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。 IPAでは、情報セキュリティー対策の基本として、①ソフトウエアの更新、②セキュリティーソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ることを推奨している。企業規模にかかわらず実行することが可能な基本的な対策だが10大脅威のさまざまな脅威に対して有効な対策であるため、確実に実行していただきたい。 また、これら基本的な対策に取り組むことを宣言することでセキュリティ対策自己宣言制度「SECURITYACTION」のロゴマークを使用することができる。ロゴマークは、ウェブサイトや名刺などに表示することで、情報セキュリティーに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページ (https://www.ipa.go.jp/security/security-action/)を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)