情報セキュリティに関連する脅威は年々増加の傾向にあり、企業規模を問わず依然として被害が相次いでいます。今回は「情報セキュリティ10大脅威 2024」から、最新の情報セキュリティ脅威の傾向を踏まえ、特に注視すべきポイントと、企業が取り組むべき対策について解説します。
今回のお悩み 最新の情報セキュリティ脅威はどのようなものが存在し、自社に関連するものがあるのか。企業が抑えておくべき有効な対策方法について教えてほしい。
私が解説します! IPA (독립 행정 기관)
目次
(1) "10 주요 정보 보안 위협"
"10 개의 정보 보안 위협"은 2006 년부터 IPA에 의해 매년 게시 된 문서입니다 IPA는 전년도에 발생한 보안 사고 및 공격에 따라 잠재적 위협을 선택할 것입니다 보안 전문가 및 기업 시스템 관리자를 포함하여 약 200 명의 회원으로 구성된 "10 개의 위협 선택"은 상위 10 위에 올랐던 위협에 대해 "10 개의 위협"으로 투표했으며 위협, 손상 사례, 대책 등을 설명합니다
2023年に発生した情報セキュリティにおける事案を対象に、個人・組織別に脅威をランキングした「情報セキュリティ10大脅威 2024」から組織編について紹介します。
【情報セキュリティ10大脅威 2024 脅威ランキング(組織編)】
(2) 2024 포인트 정보 보안 10 그레이트 위협
「組織」向け脅威では、2023年版と比較して順位に若干の変動はあるものの、脅威の種類に大きな変化は見られません。特に1位と2位は前年と同様で、「ランサムウェアによる被害」は4年連続1位、「サプライチェーンの弱点を悪用した攻撃」は2019年の初選出から年々順位を上げ、2年連続2位にランクインしました。また、コロナ禍の影響が少なくなったことで、テレワーク等を狙った攻撃はランキングを下げています。
「個人」向け脅威は今年から順位付けがなくなり、五十音順の表記に変更されています。ランキングの順位を危険度の高さと誤って認識し、順位が高い脅威を優先してしまい、下位の脅威の対策が疎かになることを懸念しての変更です。各脅威の危険度は個人によって異なるため、ランキングに捉われず、自身に関係がありそうな脅威に対して、必要な対策を講じることが重要です。
(3) 가장 큰 위협 중에 특히주의를 기울여야하는 10 가지
ランキングされた脅威は、大きく「ネットワークを狙った技術的脅威」と「人為的な脅威」の2つの要因に分類されます。
●ネットワークを狙った技術的脅威
1位のランサムウェアをはじめ、2位以下のサプライチェーン攻撃、標的型攻撃、ゼロティ攻撃など、外部からのネットワーク攻撃によるもので、主にマルウェア정보를 이용하고 돈을 요청합니다 ID 및 비밀번호의 무단 획득, 네트워크脆弱性を突いた不正アクセスなども、手法は違うものの目的は同様です。
●人為的な脅威
近年、被害が増加しているのが人為的な脅威による被害です。「内部不正による情報漏えい等の被害(3位)」と「不注意による情報漏えい等の被害(6位)」は前年から順位が上がっており、故意と過失という違いはあるものの、組織の関係者(従業員・退職者・業務委託者等)による人的要因が多くの情報漏洩を引き起こしています。
情報漏洩による被害は、金銭的なものだけでなく、顧客や取引先からの信用の失墜、自社のイメージの低下など、ダメージは計り知れません。基本的な対策を徹底すると同時に、巧妙化する個別のリスクに対する情報収集や知識の共有、外部からのネットワーク接続に対するセキュリティの強化、被害の早期検知などもポイントとなります。 また、「知らなかった」「ついうっかり」という不注意による事故は、運用体制のルール化や教育・研修によるリテラシーの向上で減らすことができます。機密情報の利用者管理、ルール化による情報管理の厳格化は内部不正の抑制にもつながります。
(4) 10 주요 위협
情報セキュリティ脅威には、「脆弱性を悪用する」「ウイルスに感染させる」といった基本的な手口が使われています。さまざまな脅威から自社を守るためには、従業員の教育をはじめ、リスクマネジメント体制の構築、セキュリティソフトの活用などの基本的な対策に加え、現行のセキュリティ対策の見直しが重要です。 ここでは、「情報セキュリティ10大脅威2024」の組織編にランクインした主な脅威に対して、企業が実践すべき対策例をご紹介します。
| 脅威 | 対策例 |
|---|---|
| ランサムウェアによる被害 | ・定期的なバックアップの実施 ・多要素認証など強固な認証方式の設定 ・共有サーバーへのアクセス権限の見直し ・電子メールの添付ファイルやリンクの警戒 |
| サプライチェーンの 弱点を悪用した攻撃 | ・ 최신 버전의 OS 및 소프트웨어로 작동하는 ・パスワードの管理・認証の強化 ・取引先などへのセキュリティ対策の確認・改善要求 ・攻撃発生時におけるネットワーク内の連絡フローの策定 |
| 内部不正による 情報漏えい等の被害 | ・重要情報のアクセス権限の見直し、管理の徹底 ・アクセス履歴や操作ログなどの監視システムの導入 ・定期的な内部監査の実施 ・情報セキュリティ、リテラシー教育の実施 |
| 標的型攻撃による 機密情報の窃取 | ・監査ログの定期的なチェック ・重要情報の暗号化とバックアップ ・組織全体のセキュリティ体制の管理と運用規則の策定 ・最新の攻撃手法を反映した定期的な対策訓練を実施 |
| 修正プログラムの 公開前を狙う攻撃(ゼロデイ攻撃) | ・脆弱性を早期発見できる監視体制やツールの整備 ・重要情報の暗号化とネットワークからの隔離OS 및 소프트웨어의 속도 버전 업그레이드 ・脆弱性対応などのサポートが受けられるソフトウェアの利用 |
| 不注意による 情報漏えい等の被害 | ・従業員のリテラシー向上、セキュリティルールの策定 ・外部に持ち出す情報や端末の制限・管理 ・メール誤送信を防止する適切な対策とツールの導入 ・外部との適切なデータ送受信のルール策定 |
(5) 여러 보안 위협을 방지 할 수있는 UTM
さまざまなセキュリティ機器やソフトウェアを駆使して備えを行うことは有効ですが、コストや運用面から考えるとあまり現実的とはいえません。 サクサでは、ワンストップで複数のセキュリティ対策を行う「UTM(통합 위협 관리 어플라이언스) SS7000 III"을 사용한 문제에 대한 솔루션을 제안합니다
●1台でさまざまな脅威に対応
"SS7000 ⅲ"는 내부 및 외부 소스입니다不正アクセスを防止する機能はもちろん、ファームウェア(※2)やウイルス検知ファイルを自動で更新し、最新のセキュアなネットワーク環境を構築します。1台で強固なセキュリティ対策を一元管理できるため、専門の部署や担当者を配置する必要がなく、コスト面の負担も軽減されます。万一の場合は、専門スタッフによる電話サポートや、無料のウイルス駆除サービス、付帯のサイバー保険で補償も受けられるので安心です。
※1 VPN 연결: "가상 개인 ※2 ファームウェア:さまざまな機器に内蔵されているコンピュータシステムを制御するためのソフトウェア。(6) 요약
지금까지, 우리는 IPA의 "10 주요 정보 보안 위협 2024"를 기반으로 회사를 손상시킬 위협과 대책을 설명했습니다 다각화サイバー攻撃に加え、不正や不注意による人為的な脅威にも関心が高まっており、セキュリティ対策は企業のリスク管理に欠かせない要素です。規模の大きさに関わらず、最新の脅威情報を把握したうえで自社のセキュリティを見直し、適切かつ迅速な対策を講じることが重要です。 サクサは情報セキュリティの脅威に対し、さまざまな情報セキュリティ機器のご提案を通して、中堅・中小企業の課題解決をサポートさせていただきます。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
