日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.47 情報セキュリティ10大脅威2021

10大脅威2021 組織の脅威順位

ニューノーマルな働き方狙う攻撃が初登場

独立行政法人情報処理推進機構(IPA)は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティに関するトピックについて、情報セキュリティ分野の研究者など約160人のメンバーから成る「10大脅威選考会」の審議・投票によりトップ10を選出。「情報セキュリティ10大脅威2021」として順位を決定し、IPAのホームページで公表した(後掲のURLを参照)。

組織の順位では、「ランサムウェアによる被害」が1位となった。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行った。従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていたが、新たな攻撃者は、明確に標的を企業に定めている。標的型攻撃と同様の手法で企業のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況をつくり出す。昨年は国内企業への攻撃も報道され、大きな話題となった。新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱(ぜいじゃく)性対策など、基本的な対策を、確実かつ多層的に適用することが重要である。

また、「テレワークなどのニューノーマルな働き方を狙った攻撃」が初登場で3位となった。昨年は新型コロナウイルス感染症の世界的なまん延に伴い、感染症対策の一環として政府機関からテレワークが推奨された。テレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えた。また、私物のPCや自宅ネットワークの利用、初めて使うソフトウエアの導入など、以前は緊急用として使っていた仕組みを恒常的に使う必要性が出てきている。こうした業務環境の急激な変化を狙った攻撃が懸念される。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要である。

手口を知り常に対策を

今年は「組織」と「個人」を合わせた20の脅威のうち、19の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもない。よって手口を知り、常に対策を怠らないことが重要と考えられる。

IPAでは、情報セキュリティ対策の基本として、①ソフトウエアの更新、②セキュリティソフトの導入、③パスワード管理・認証の強化、④設定の見直し、⑤脅威・手口を知ることを推奨している。企業規模にかかわらず実行することが可能な基本的な対策だが、10大脅威のさまざまな脅威に対して有効であるため、確実に実行していただきたい。

また、これら基本的な対策に取り組むことを宣言することで、セキュリティ対策自己宣言制度「SECURITY ACTION」のロゴマークを使用することができる。ロゴマークをウェブサイトや名刺などに表示することで、情報セキュリティに自ら取り組んでいることをアピールすることが可能だ。利用手数料は無料。具体的な手続きはIPAのホームページを確認してほしい(URLを参照)。

情報セキュリティ10大脅威2021はこちら

「SECURITY ACTION」はこちら

(独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 vol.48 テレワークを狙った攻撃

独立行政法人情報処理推進機構・江島将和

2020年は新型コロナウイルス感染症の世界的なまん延に伴い、政府機関から日本の組織に対して感染症対策の一環としてニューノーマルな働き方の一つ...

前の記事

中小企業のセキュリティー対策 vol.46 DX時代の企業とITベンダーへ

独立行政法人情報処理推進機構・江島将和

デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタルトランスフォーメーション(DX)」が注目を集めている。経済...

関連記事

中小企業のセキュリティー対策 vol.53 指導事例の活用を

独立行政法人情報処 理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は2019年度から20年度にかけて、全国の中小企業を対象に、地域で活躍している情報処理安全確保支援...

中小企業のセキュリティー対策 vol.51 被害防止へ対応事例紹介

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は5月31日、「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け...

中小企業のセキュリティー対策 vol.50 サイバーセキュリティ お助け隊サービス始動

独立行政法人情報処理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は、企業間サプライチェーン全体のサイバーセキュリティー対策強化の必要性の下、中小企業のサイ...