情報セキュリティの
主な脅威10種類を一覧チェック!
情報セキュリティの脅威とは、企業などの情報資産に損失等をもたらす要因や、リスクを生じさせる要因を言います。
具体的には、どのようなものがあるのでしょうか?IPA(情報処理推進機構)が公表している『情報セキュリティ10大脅威』をもとに、組織に対する脅威10選を見ていきましょう。
ランサムウェアによる被害
ランサムウェアは、ファイルを暗号化により解読不可能にしたうえで復旧処理と引き換えに金銭等を要求するウイルスの一種です。
要求どおりに金銭等を支払ったとしても復旧するかどうかはわからないため、要求に応じてはいけません。
普段からデータのバックアップをとり、そこから復旧させましょう。
サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、原材料の調達→製造→配送→販売といった製品の製造・販売における一連の流れのことです。
ターゲットを直接的に狙うのではなく、このサプライチェーンに関わる他企業の脆弱性を利用して間接的にターゲットを攻撃するのが、この脅威の特徴です。
標的型攻撃による機密情報の窃取
ある特定の組織を狙い撃ちにしたサイバー攻撃が、標的型攻撃です。
企業などの組織は多くの機密情報を持っていることが多いためターゲットにされやすく、しっかりとしたセキュリティ対策が重要となります。
内部不正による情報漏洩
外部による攻撃だけではなく、不正に情報を持ち出すなど内部からのセキュリティインシデントも少なくありません。
不正検知システムの導入や従業員の教育など、対策をしっかり行いましょう。
テレワーク等のニューノーマルな働き方を狙った攻撃
近年テレワークが普及していることにつけこみ、従業員個人の脆弱なネットワーク環境やVPNに対するサイバー攻撃等を仕掛けてくる手口も増加しています。
企業内のみならずテレワーク環境もしっかり考慮したセキュリティ対策が重要です。
脆弱性をついたゼロディ攻撃
修正プログラムの公開前を狙う攻撃修正パッチや内容が公開される前の脆弱性をついた、「ゼロディ攻撃」と呼ばれる手口もあります。事前に把握するのは困難なため、普段から脆弱性情報の収集を行っておくことが重要です。
ビジネスメール詐欺による金銭被害
従業員に偽のビジネスメールを送りつけ、詐欺行為により金銭被害をもたらす例も少なくありません。
巧妙なメールも多いため、従業員に対するきちんとした教育が必要です。
脆弱性対策情報の公開に伴う悪用増加
ソフトウェアやOSに脆弱性が見つかると修正パッチとともに内容も公開されることが多いですが、公開された脆弱性に関する情報を悪用し、攻撃してくるケースもあります。
ソフトウェアやOSは常に最新の状態をキープしておくことが重要です。
不注意による情報漏洩等の被害
人的な操作ミスや不注意が原因のセキュリティ事故も少なくありません。
従業員のリテラシーを上げるための教育を定期的に行うことが大切です。
犯罪のビジネス化(アンダーグラウンドサービス)
サイバー攻撃が金銭的利益を得るための手段と化し、その仕組みが生まれている状態を言います。従来は単なる嫌がらせや自身のスキルをアピールするために行われていたサイバー攻撃ですが、昨今は、金銭的利益を得るための手段、つまり“ビジネス”として行われることも多くなっているのです。
