1. 「情報セキュリティ10大脅威 2024」について

私が情報セキュリティ分野で毎年注目していること、それはズバリ「情報セキュリティ10大脅威」というものです。

これは独立行政法人情報処理推進機構（IPA）が毎年発表しており、

2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

出所

IPA”「情報セキュリティ 10 大脅威 2024」を決定” https://www.ipa.go.jp/security/10threats/10threats2024.htmlより抜粋

といったものになります。

※以下、特に断りのない限り、各種事例や対策の例などの出典はIPA https://www.ipa.go.jp/security/10threats/10threats2024.html 掲載の資料からの抜粋となります。

情報セキュリティ10大脅威では毎年「個人編」と「組織編」が発表されており、企業だけではなく、みなさんの各ご家庭で気を付けるべきことの参考となります。ぜひご覧ください。

なお例年、ランキング形式で脅威を発表しているのですが、【2024年版】の「個人編」では、五十音順の発表となっています。こちらは順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことだそうです。「組織編」ももちろんですが、順位に関わらず自身に関係のある脅威に対して積極的に対策を行うことが大切ですね。

それでは、「情報セキュリティ10大脅威2024」【組織編】の中から特にTOP1、2に選出された脅威について、注目したいポイントや対策をご紹介したいと思います。

2. 【組織編】脅威第1位「ランサムウェアによる被害」について

「組織編」の第1位となった脅威は「ランサムウェアによる被害」です。

ランサムウェアによる被害とは、端的に言うと組織が持つ情報を人質にとった「身代金の要求」という脅迫です。社内のPCやサーバーなどをウイルスに感染させ、情報、データを暗号化し、業務の継続を困難にします。その後、「システムを復旧するためには金銭を支払え」といった脅迫を行い、金銭を要求します。また暗号化した情報やデータを流出させるといった脅迫、2次被害もあります。

9年連続のランクインですが、特にここ4年連続して脅威第1位となっており、大手情報サービス企業や医療機関の被害など各種報道でも大きく取り上げられています。ただし、組織の規模や業種によらず被害は発生している状況ですので、油断なく注意が必要です。

ランサムウェアの感染経路は幅広く、メールやwebサイトからの感染や、OSやアプリケーションの脆弱性を利用し、ネットワークから感染することもあります。

感染経路が様々ですので、これをしておけば大丈夫ということはなく、とにかく情報セキュリティ対策の基本を意識して備えること、すなわち

• ソフトウェアの脆弱性： ソフトウェアの更新を怠らず、脆弱性を解消し攻撃によるリスクを低減する
• ウイルス感染：セキュリティソフト等を利用して攻撃をブロックする
• パスワード漏洩： パスワードの管理・認証を強化し、パスワード漏洩・窃取によるリスクを低減する
• 各種設定の不備：機器やネットワーク設定を常にチェックし、誤った設定を攻撃に利用 されないようにする
• 各セキュリティリスク：攻撃の手口から重要視するべき対策を理解する

など、必要な対策を怠らないことが大切です。

※上記は、あくまでも情報セキュリティ対策の「基本的」な事項にすぎません。ランサムウェア被害を防ぐための対策ではないので、あらゆる面で被害を受けないように注意してください。

また、不幸にしてランサムウェア被害にあい、データを暗号化された際には「バックアップ」の存在がとても重要です。バックアップデータを使用して業務を復旧した例もありますので、バックアップデータの存在やその取得頻度、運用手順などを今一度見直してみてはいかがでしょうか。

ちなみにIPAの資料では「原則、身代金を支払わずに復旧を行う」としています。これは身代金を支払ってもデータの復元や情報の流出を防げるとは限らない（そもそも悪いことをする人を信用できないですよね）こと、仮に復旧しても結果的に攻撃者に資金提供をしたことになるおそれがあるからです。
基本的な対策を怠らず、備えましょう。

3. 【組織編】脅威第2位「サプライチェーンの弱点を悪用した攻撃」について

「組織編」の第2位となった脅威は「サプライチェーンの弱点を悪用した攻撃」です。

サプライチェーンとは、ご存知のとおり原材料の調達から商品やサービスを提供するまでの「ビジネス上の繋がり」ですが、この繋がり上の組織、つまり自社の部門のみならず子会社や業務委託先、取引先に至るまでの中から、セキュリティ対策の甘い組織＝弱点をターゲットに攻撃をしかけてきます。

ですから、自社がセキュリティ対策を徹底していたとしても、そのグループ会社や取引先、委託先の対策が甘ければ攻撃を受けた組織から自社の秘密が漏れるといった被害を受けてしまいます。

また組織で使用しているソフトウェアの開発サイクル（アップデートやバージョンアップなど）や人の繋がりをソフトウェアサプライチェーンと呼びますが、このような「ソフトウェアの繋がり」を悪用した攻撃もまた脅威であり、対策が必要となってきます。

まさに自社の対策だけではなく、調達先や業務委託先などサプライチェーン全体を巻き込んだ対策が求められています。すなわち

• サプライチェーン全体のセキュリティ対策状況の把握
• サプライチェーン全体のセキュリティ対策の徹底
• 信頼できる調達先、委託先の選定（PマークやISMS認証など第三者認証の有無）
• 子会社や委託先などへのセキュリティ対策の改善要求
• サプライチェーンネットワーク内の連絡プロセスの確立

など、多数の関係先にわたる対策が必要です。

4. ルート・シーの情報セキュリティについて

10大脅威のうち、TOP2を簡単にご紹介しましたが、いかがでしたでしょうか。

弊社ルート・シーは、クライアントさまのサプライチェーンの一端として、その情報・データを取り扱うことが多い業態です。弊社自身が前述のサプライチェーンの中の弱点とならないよう、お客さまにご安心、またご満足いただけるよう、情報セキュリティや品質管理に力を入れております。

ルート・シーの情報セキュリティに関すると取り組みについてはこちら

ルート・シーの品質管理室の活動についてはこちら

ルート・シーでは、2006年のISO/IEC 27001の認証取得から現在（2024年）に至るまで、情報セキュリティマネジメントシステム（ISMS）が適切に運用されており、経営に重大な影響を及ぼすような情報セキュリティインシデントの発生件数は0件を維持しています。

高品質で安全なwebサイト制作、またセキュリティを担保するweb運用、サービスをお求めの際は、ぜひルート・シーをご検討ください。

webサイトに関するお悩みや改修、リニューアルのお問い合わせ、無料相談はこちら