日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.35 20年版「10大脅威」決定

情報セキュリティ10大脅威2020

標的型攻撃昨年に続き1位

独立行政法人情報処理推進機構(IPA)は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティーに関するトピックについて、情報セキュリティー分野の研究者など約140人のメンバーからなる「10大脅威選考会」の審議・投票によりトップ10を選出した。「情報セキュリティ10大脅威2020」として順位を決定し、IPAのホームページ(https://www.ipa.go.jp/security/vuln/10threats2020.html)で公表している。

今年の組織の脅威順位の1位は昨年に引き続き「標的型攻撃による機密情報の窃取」である。IPAに設置する「標的型サイバー攻撃特別相談窓口」に対して年上期に寄せられた相談件数は221件。行政機関の業務委託先に対する標的型攻撃が報道されており、サプライチェーンも含めた注意が必要だ。

「内部不正による情報漏えい」が昨年の5位から2位に上昇した。情報機器リユース業者において、廃棄予定のハードディスクドライブ(HDD)が従業員により不正に持ち出され、ネットオークションなどで転売された。そしてそのHDD内に多くの個人情報などが残っていたことが発覚し、大きな社会問題となった。

重要情報の格納に使用したHDDは物理的に破壊、または専用のソフトウエアで適切にデータを消去した後、廃棄される必要がある。一方で、確実な廃棄の確認方法の難しさも指摘された。また、内部不正を予防するためには、経営者が積極的に関与して重要情報の管理および保護を徹底するとともに、従業員への教育などにより情報モラルを向上させることが必要だ。

復活ランクインとしては、13年の10大脅威を最後に6年間圏外だった「予期せぬIT基盤の障害に伴う業務停止」が6位に浮上した。昨年は複数の大規模自然災害や大手クラウドベンダーの人為的ミスによる長時間のサービス停止が発生した。こうした大規模システム障害が事業に与えた影響の大きさから、BCP(事業継続計画)を見直すきっかけを与えた年といえる。

手口を知り常に対策を

今年は「組織」と「個人」を合わせた20の脅威の内、17の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。 IPAでは、情報セキュリティー対策の基本として、①ソフトウエアの更新、②セキュリティーソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ることを推奨している。企業規模にかかわらず実行することが可能な基本的な対策だが10大脅威のさまざまな脅威に対して有効な対策であるため、確実に実行していただきたい。 また、これら基本的な対策に取り組むことを宣言することでセキュリティ対策自己宣言制度「SECURITYACTION」のロゴマークを使用することができる。ロゴマークは、ウェブサイトや名刺などに表示することで、情報セキュリティーに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページ (https://www.ipa.go.jp/security-action/)を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

企業や官公庁などで費用面や運用負担の軽減のため、自社の機器をデータセンターに設置したり、クラウドのIT基盤を利用したりするケースが増えてきている。利用しているIT基盤で…

前の記事

独立行政法人情報処理推進機構・江島将和

パソコンやインターネットなどのITは、さまざまな分野に活用されビジネスに欠かせないものになっている。しかし、ITは犯罪にも悪用されていることを忘れてはならない。年々、犯…

関連記事

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…

独立行政法人情報処理推進機構・江島将和

新型コロナ関連の偽メールに警戒を独立行政法人情報処理推進機構(IPA)は4月27日、ビジネスメール詐欺に関する3度目の注意喚起を行った。ビジネスメール詐欺とは、巧妙に細工し…

独立行政法人情報処理推進機構・江島将和

東京商工会議所が8日に公表した「新型コロナウイルス感染症への対応に関するアンケート」によると、テレワークを実施している企業は26・0%、実施検討中は19・5%であった。また、…