日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.23 19年版「10大脅威」発表

組織の脅威 順位

1位は標的型攻撃による被害

独立行政法人情報処理推進機構(IPA)は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティーに関するトピックについて、情報セキュリティー分野の研究者など約120人のメンバーからなる「10大脅威選考会」の審議・投票によりトップ10を選出した。「情報セキュリティ10大脅威2019」として順位を決定し、IPAのホームページhttps://www.ipa.go.jp/security/vuln/10threats2019.htmlで公表している。

今年の組織の脅威ランキングの1位は18年に引き続き「標的型攻撃による被害」である。IPAに設置する「標的型サイバー攻撃特別相談窓口」に対して18年上期に寄せられた相談件数は155件。特定の攻撃グループによると思われる標的型メール攻撃が継続的に行われており注意が必要だ。

昨年3位だった「ビジネスメール詐欺による被害」はランクを一つ上げて2位となった。ビジネスメール詐欺は、巧妙に細工したメールのやりとりにより、企業の担当者をだまし、攻撃者の用意した口座へ送金させる詐欺の手口である。18年7月には、日本語のメールによる攻撃事例を確認した。あらゆる国内企業・組織が攻撃対象となり得る状況である。企業は、このような詐欺の手口があることを知るとともに、電信送金に関するチェック体制の整備が必要だ。

サプライチェーン全体の管理必要に

また、これまでの10大脅威に一度もランクインしたことのない新たな脅威として「サプライチェーンの弱点を悪用した攻撃の高まり」が4位にランクインした。今日、社内で利用するITシステムやお客に提供する製品・サービスにおいて設計・開発・製造、および運用・保守・廃棄に至るまでのプロセスの一部を外部委託することは一般的となっている。しかし、これら供給の連鎖(サプライチェーン)における情報セキュリティーリスクの把握やマネジメントは容易ではない。セキュリティー対策が不十分な企業が侵害の契機となる恐れがあるため、サプライチェーン全体のセキュリティーマネジメントが求められる。

今年は「個人」と「組織」を合わせた20の脅威のうち、9割の18の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。

IPAでは、情報セキュリティー対策の基本として、①ソフトウエアの更新、②セキュリティーソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ること推奨している。企業規模にかかわらず実行することが可能な基本的な対策だが、10大脅威のさまざまな脅威に対して有効な対策であるため確実に実行していただきたい。

また、これら基本的な対策に取り組むことを宣言することでセキュリティ対策自己宣言制度「SECURITY ACTION」のロゴマークを使用することができる。ロゴマークは、ウェブサイトや名刺などに表示することで、情報セキュリティーに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページhttps://www.ipa.go.jp/security/security-action/を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 vol.24 情報漏えいは不注意から

独立行政法人情報処理推進機構・江島将和

組織や企業において、メールの誤送信や重要情報を保存した情報端末(PCやスマートフォンなど)・記録媒体(USBメモリーなど)の紛失、重要書類(紙媒体)...

前の記事

中小企業のセキュリティー対策 vol.22 ソフトウエアの脆弱性

独立行政法人情報処理推進機構・江島将和

OS(基本ソフト)やオフィスソフトなどのソフトウエア製品に脆弱(ぜいじゃく)性が発見された場合、製品開発会社が脆弱性を修正するためのプログラム(...

関連記事

中小企業のセキュリティー対策 vol.53 指導事例の活用を

独立行政法人情報処 理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は2019年度から20年度にかけて、全国の中小企業を対象に、地域で活躍している情報処理安全確保支援...

中小企業のセキュリティー対策 vol.51 被害防止へ対応事例紹介

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は5月31日、「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け...

中小企業のセキュリティー対策 vol.50 サイバーセキュリティ お助け隊サービス始動

独立行政法人情報処理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は、企業間サプライチェーン全体のサイバーセキュリティー対策強化の必要性の下、中小企業のサイ...