catch-img

IPA「情報セキュリティ10大脅威 2024」解説レポート

2024年1月24日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威 2024」が公開されました。情報セキュリティ10大脅威は、IPAが情報セキュリティ対策の普及を目的として、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。そのため、セキュリティに関する記事や資料によく引用される情報セキュリティ脅威トレンドを示す指標となっています。

この度の2024年版発表に伴い、前年からの情報セキュリティ10大脅威(組織)の変化と、上位の脅威について解説していきます。

※IPA(独立行政法人情報処理推進機構):プレス発表「情報セキュリティ10大脅威 2024」を決定を基にAssuredで作成


変動のあった脅威について

この度発表された「情報セキュリティ10大脅威 2024」では、前年から新しくランクインした脅威は無く、順位のみ変動しました。順位の変動も少なかったものの、比較的大きな変動は「不注意による情報漏えい等の被害」と「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。
「不注意による情報漏えい等の被害」はクラウドサービスの利用拡大に伴い、クラウドサービスの設定ミスによる情報漏えいが増加したことから順位が上昇したと思われます。
「テレワーク等のニューノーマルな働き方を狙った攻撃」は新型コロナウイルス感染症が5類に移行された結果、出社回帰の傾向にあることと、テレワークでの働き方が定着し、それに応じた対策が施されるようになった結果から順位が下がったと思われます。

上位3つの脅威について

ここからは、上位3つの脅威に対して解説します。

1位:ランサムウェアによる被害

前年に引き続き1位はランサムウェアによる被害でした。ランサムウェア感染はニュース等で頻繁に報道されるなど、その脅威は衰えることなく猛威を振るっています。自社環境がランサムウェアに感染した事例が多くある一方、2023年の注目すべき事例として、社労士向けSaaSがランサムウェアに感染した結果、サービス停止が1カ月続き、多数の利用企業に影響が発生する事態に発展したケースもありました。このように、SaaS事業者を標的とするランサムウェア攻撃も近年増加傾向にあり、その影響範囲も広いことから、対策が急がれます。

Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のランサムウェア対策の実態について、独自データをもとに解説したレポートを発表しています。

▶SaaS事業者のランサムウェア対策実態
https://assured.jp/column/2023securityreport-vol1

2位:サプライチェーンの弱点を悪用した攻撃

サプライチェーンの弱点を悪用した攻撃は前年に引き続き2位になりました。サプライチェーンは、子会社や業務委託先、利用しているクラウドサービスなど多岐に渡っており、自社のセキュリティをいかに強化しても、サプライチェーンのなかで1つでも脆弱な箇所があればそこを踏み台に本丸を攻撃されます。2023年の注目すべき事例として、海外関連会社の委託先の従業員PCがマルウェアに感染し、そこを起点として海外関連会社のシステムを経由し個人情報を保管しているシステムに侵入され、大量の個人情報が流出したケースがありました。1位のランサムウェアによる被害で例示した社労士向けSaaSへの攻撃もサプライチェーン攻撃に該当します。
2024年4月に予定している個人情報保護法規則・ガイドラインの改正で、安全管理措置の対象が明確化され、個人データになる前の取得、又は取得しようとしている個人情報も対象になることが明記されます。個人情報の取得にクラウドサービスを利用することが今後拡大すると想定されるため、利用するクラウドサービスのセキュリティ評価がより一層重要になります。

Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ、各項目について解説したレポートを発表しています。

▶2023年SaaS事業者のセキュリティ未対策項目 TOP10
https://assured.jp/column/2023securityreport-vol2​​​​​​​

3位: 内部不正による情報漏えい等の被害

内部不正による情報漏えいは、以前から存在する脅威です。2023年の注目すべき事例として、
業務委託先のコールセンターで運用・保守をしていた派遣社員が大量の個人情報リストを持ち出して売却していたケースがありました。本件は、多数の企業が当該コールセンターを利用していたため、不正に持ち出された個人情報は約900万件にのぼるとされています。
多数の企業が利用する委託先やクラウドサービスで内部不正が発生すると、情報漏えい件数は多くなり、影響も広範囲にわたります。外部からの攻撃に注目が集まりがちですが、内部不正や過失による情報漏えい対策も重要です。

Assuredでは、内部不正・過失による情報漏えいに対するクラウドサービス事業者の対策実態について調査した結果を発表しています。

▶内部不正・過失による情報漏えい対策の実態
https://assured.jp/20231027-01


早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム