2023年、企業はどのような脅威に注意しなければならないのでしょうか。今回は、IPAが発表している「情報セキュリティ10大脅威2023」(https://www.ipa.go.jp/security/vuln/10threats2023.html)を元に、2023年に企業が注意すべき脅威とセキュリティ対策について解説します。「情報セキュリティ10大脅威2023」の概要と前年との違いについても紹介するので、企業のセキュリティ担当者の方は参考にしてみてください。
情報セキュリティ10大脅威2023の概要
「情報セキュリティ10大脅威」は、IPAが毎年発表している資料です。前年に発生した情報セキュリティの事案の中から、影響の大きい脅威が10個ピックアップされています。個人を対象とした脅威と組織を対象とした脅威がそれぞれ発表されており、前年との順位変動についても記載があります。
「情報セキュリティ10大脅威2023」では、個人の第1位に「フィッシングによる個人情報等の詐取」、第2位に「ネット上の誹謗・中傷・デマ」、第3位に「メールやSNS等を使った脅迫・詐欺の手口による金銭要求」がランクインしています。フィッシングは、メールやSMSなどを利用して、公的機関や有名企業の正規サイトを装った偽のサイトに誘導し、ID・パスワードやクレジットカード情報などの入力を求める脅威です。
組織の第1位には「ランサムウェアによる被害」、第2位には「サプライチェーンの弱点を悪用した攻撃」、第3位には「標的型攻撃による機密情報の窃取」がランクインしています。
ランサムウェアは、ここ数年世界中で大きな被害を発生させているサイバー攻撃です。コンピュータやネットワークに侵入してデータを暗号化し、データの復号と引き換えに金銭を要求するマルウェアをランサムウェアと呼びます。組織が注意すべき脅威として、被害が大きくなりやすいランサムウェアやサプライチェーン攻撃、メールを利用した攻撃の一種として注目されている標的型攻撃がランクインしていることが分かります。
情報セキュリティ10大脅威2022と2023の比較
情報セキュリティ10大脅威は毎年公開されています。それでは、2022年と比較して、2023年はどのような脅威に特に注意すべきなのでしょうか。
出典:情報セキュリティ10大脅威2023(個人)_IPA
個人を対象とした脅威の中では、1位~5位までは前年と変化がありません。フィッシングや誹謗中傷、クレジットカードやスマホ決済の不正利用については、引き続き個人で注意していく必要があります。前年は10大脅威の圏外だった脅威として、「ワンクリック請求等の不当請求による金銭被害」が10位にランクインしています。2021年の終わりから2022年にかけてワンクリック請求の相談件数が増加しており、昔からある古典的な手口ながら、改めて注意が呼びかけられています。
参考:https://www.ipa.go.jp/security/anshin/mgdayori20220706.html
出典:情報セキュリティ10大脅威2023(組織)_IPA
組織を対象とした脅威の中でも、2022年と比較した場合、1位~5位は順位の変動こそあれど、脅威の内容には変化がありません。注目すべきは、前年圏外から今年10位にランクインしている「犯罪のビジネス化(アンダーグラウンドサービス)」でしょう。サイバー犯罪がビジネス化して金銭目的の攻撃が増えただけでなく、簡単にサイバー攻撃が仕掛けられるようなツールやマルウェア、個人情報の売買も問題になっています。サイバー犯罪の手口が高度かつ手軽になっており、今後一層のセキュリティ対策が求められています。
企業が特に注意すべき脅威とは?
こうした情勢の中で、企業はどのような脅威に特に注意し、どのような対策を実施すべきなのでしょうか。ここでは、企業が特に注意すべき脅威とその対策について解説します。
企業が特に注意すべき脅威として、2023年の情報セキュリティ10大脅威の第2位にランクインしている「サプライチェーンの弱点を悪用した攻撃」があります。通称「サプライチェーン攻撃」と言われ、特に近年、対策の必要性が高まっている脅威です。
ある商品の原料調達から消費者の手に届くまでの一連の流れを「サプライチェーン」と言います。サプライチェーン攻撃はこの流れを悪用した攻撃です。商品の流通には、販売元の大企業から、原料調達や組み立てを行う中小企業まで様々な企業が関わっています。大企業はセキュリティ対策が厳重に実施されていることが多いですが、大企業の子会社や関連企業の中には、セキュリティ対策が手薄な中小企業も多々あります。そこで、セキュリティが手薄な中小企業を狙って攻撃を仕掛け、標的となる大企業の業務を停止させたり、大企業のシステムに侵入したりといった攻撃が有効になります。これがサプライチェーン攻撃です。
企業が注意すべき脅威として、第4位にランクインしている「内部不正による情報漏えい」も挙げられます。企業にとって、情報漏えいは大きな損失につながります。信頼が失われるだけでなく、損害賠償などにより経済的な損失が発生することも珍しくありません。
企業は、外部からのサイバー攻撃だけに対策するのではなく、内部不正にも厳重な対策を実施する必要があります。内部不正による情報漏えいの例としては、中途退職者による情報の持ち出しや、権限のない現職者による不正なアクセスなどがあります。端末・ネットワークの監視や、アクセス制御の厳重化といった対策が求められます。
故意によるものだけでなく、従業員の過失による情報漏えいにも、企業は注意が必要です。USBメモリを持ち出して紛失してしまうケースや、設定ミスにより機密情報がホームページ上に公開されてしまうケースなど、過失による情報漏えいは後を絶ちません。従業員へのセキュリティ教育の徹底や社内ルールの厳格化といった対策が求められます。
サイバー犯罪が高度化しつつある現代において、企業のセキュリティにも厳重な対策が求められています。情報をアップデートしながら、常に最新のセキュリティ対策を実施するよう、努めなければなりません。
まとめ
本記事では、IPAが発表している「情報セキュリティ10大脅威2023」を元に、今年企業が注意すべき脅威とセキュリティ対策について解説しました。2023年も2022年から引き続いて、個人ではフィッシングや金銭要求に、企業ではランサムウェアや標的型攻撃などに注意する必要があります。
中でも企業が注意すべき脅威として、サプライチェーン攻撃や内部不正による情報漏えいが挙げられます。規模が大きくない企業であったとしてもセキュリティ対策を厳重に実施し、内部不正を防ぐ仕組み作りや、従業員へのセキュリティ教育の徹底が求められます。最新の脅威情報を日頃から把握し、セキュリティのアップデートを心がけましょう。
