이렇게 "10 큰 정보 보안 위협 2022"
최신 보안 피해에 대한 설명 올해 어떤 보안 조치가 필요합니까?

"10 개의 가장 큰 정보 보안 위협"은 정보 보안 조치에 대한 인식을 높이기 위해 2006 년 이후 매년 IPA에 의해 발표되었습니다 이 순위는 최신 위험 추세를 반영합니다 예를 들어, "Teleword와 같은 새로운 정상 작업 스타일을 대상으로하는 공격"과 같은 위험은 Covid-19 Pandemic 속에서 원격 복지가 증가함에 따라 나타났습니다
このように世の中の動きに合わせたランキングを知ることで、企業はどのような対策を強化すればいいのかが見えてきます。

"10 정보 보안 위협 2022"에서 IPA는 2021 년에 발생한 주요 사회적 영향을 미치는 것으로 생각되는 정보 보안 사고를 선택했습니다 이에 따라 10 개의 주요 위협 선택 세션은 정보 보안 분야의 연구원을 포함하여 약 150 명의 회원으로 구성된 "10 개의 위협 선택"에 의해 개최되고 투표되었습니다
"개인 에디션"및 "조직 판"의 순위가 발표되었지만 여기에서 조직 에디션을 살펴 보겠습니다 (괄호의 순위는 전년도 순위이며, "New"는 내가 처음으로 순위를 매겼습니다)

〈情報セキュリティ10大脅威2022 組織編〉

最新動向を解説！ 2022年版に見る3つの注目ポイント

2022年版には、3つの注目ポイントがあります。

1つ目は、前年と同様、外部からの脅威が上位を占めているということです。ランサムウェアや標的型攻撃など、サイバー攻撃の脅威は後を絶ちません。
2つ目は、新たな攻撃の手口がランクインしていることです。7位に選出されている「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が該当しますが、通常のサイバー攻撃とは異なる手法によって、被害が増大しています。
3つ目は、内部からの情報漏洩が長年にわたってランクインし続けているという事実です。テレワークなどの普及で、その傾向にますます拍車がかかっているということが考えられます。

2022年版でも、前年1位だった「ランサムウェアによる被害」が、2年連続で1位に選出されました。

ランサムウェアとはマルウェア（※1）の一種で、「身代金要求型不正プログラム」とも呼ばれます。感染したパソコンをロックしたり、ファイルを暗号化したりすることによって、利用できなくしたうえで、もとに戻すことを引き換えにランサム（身代金）を要求するという卑劣な攻撃です。
ひと口にランサムウェアといっても、さまざまなタイプがあります。従来は「ばらまき型メール」と呼ばれるものが主流で、不特定多数に「なりすましメール」を送信、脆弱性を攻撃する不正サイトに誘導し、ランサムウェアに感染させるといった手法が多く見られました。しかし近年は「標的型メール」と呼ばれる、特定の組織やユーザー層をターゲットにした攻撃が増えてきています。
これは、2位にランクインしている「標的型攻撃による機密情報の窃取」にもかかわってくる手口です。同じく、特定の組織から大事な情報を盗むことなどを目的として、サイバー攻撃を仕掛けるものです。

日本を震撼させた大手自動車メーカーへの攻撃

2022年2月末、サイバー攻撃に関する大きなニュースが飛び込んできました。日本を代表する大手自動車メーカーの主要な取引先がサイバー攻撃を受け、部品の調達に支障が出るおそれがあるとして、国内すべての工場・ラインの稼働が停止しました。
このサイバー攻撃が巧妙なのは、最初に目標とする自動車メーカーを攻撃したわけではないという点です。車の部品を製造するサプライヤーに攻撃を仕掛け、そのことが部品供給を管理するメーカーのシステムへと影響を及ぼしました。
まさにこれは、3位にランクインしている「サプライチェーンの弱点を悪用した攻撃」です。標的とする企業に直接サイバー攻撃をするのではなく、セキュリティ対策が手薄な取引先や関連会社を経由して、ターゲットを狙うという巧妙な手口です。

※ 1

サイバー攻撃の一種として見過ごせないのが、7位に初登場した「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」です。ゼロデイ攻撃は聞いたことがあるという方も多いと思いますが、実際にどのようなものでしょうか。

私たちが使っているソフトウェアには、セキュリティホールと呼ばれる脆弱性が潜んでいます。ウイルスに感染しやすい、システムに侵入しやすい、プログラムの書き換えもしやすい、いわば無防備な「抜け穴」がセキュリティホールです。それが発見されれば当然、情報が公開されたり、メーカーによって対策が講じられたりするわけですが、その前に攻撃を仕掛けてくることをゼロデイ攻撃といいます。「脆弱性の発見から日にちを空けずに行われる攻撃」ということからのネーミングです。

세상을 흔들었던 "아파치 로그 4J"에 대한 공격

今回、ゼロデイ攻撃が選ばれた理由として、2021年12月に脆弱性"아파치
아파치クラウドサービス（※2）など、さまざまなところで使われており、その脆弱性を悪用した攻撃が国内外で観測されるようになったという報告とともに、対策情報も同じタイミングで公開されたため、大きな話題となりました。内閣サイバーセキュリティセンターなどが、すぐに対策を取るよう呼びかけ、多くの企業が対応に追われました。

「公開後」の脆弱性を狙った攻撃も6位に

6位には、「脆弱性対策情報の公開に伴う悪用増加」という脅威がランクインしています。脆弱性をついた攻撃という意味で、ゼロデイ攻撃と似たような印象を持つかもしれませんが、こちらは脆弱性の「公開後」の攻撃。今回のランキングでは両者は区別されています。前年は脆弱性をついた攻撃がひとつとして扱われていたことを考えると、それだけ今後は脆弱性が狙われるケースが増えていくことが予想されます。

※2 従来、コンピュータで利用していたデータやソフトウェアを、ネットワーク経由で利用できるようにするサービス。

5位に選出されている「内部不正による情報漏えい」も、企業としては気になるところです。これまではサイバー攻撃のような外部の脅威について紹介してきましたが、脅威は外部だけに存在するのではない、ということがわかります。

内部不正というリスク

"기념품 작업 변경"이라는 용어에 대해 들어 본 적이 있습니까? 이것은 은퇴 할 때 고객 정보 및 기술 정보를 제공하여 선물로 새 직장에 제공하는 내부 사기입니다 최근 몇 년 동안 뉴스로 인해 주요 경력의 직원들이 일자리를 바꿀 때 5G (※ 3) 관련 정보를 제기하고 나중에 직업을 바꾸었을 때 뉴스가 발생했습니다
また別の事件では、証券会社の委託先のシステムエンジニアが顧客に成りすましておよそ2億円を引き出した、という不正も記憶に新しいところです。残念ながらこうした不正は後を絶ちません。

「ついうっかり」にも要注意

さらにいえば、悪気はないかもしれないけれど、「ついうっかり」起きてしまう人為的なミスも、リスクのひとつです。それが10位にランクインしている「不注意による情報漏えい等の被害」に当たります。実のところ、先ほどのような悪意ある情報漏洩はほんのごく一部で、情報漏洩の大半は不注意によるものだといわれています。こうした現状から、最近では「ゼロトラスト」という考え方が注目されるようになってきました。

「ゼロトラスト」のメリット

ゼロトラストとは、「何も信用しない」という意味です。これまで安全だと思って疑わなかった社内アクセスも含め、すべてのアクセスを検証するということです。

이것의 배경은 DX (※ 6),クラウドサービスの利用拡大、テレワークの普及などがあります。こうした新しいサービスや働き方は、「内」と「外」の境界を曖昧にしています。守るべきものは「内」だけでなく「外」にもあり、逆に目を光らせるべき脅威も「外」だけでなく「内」にもある。つまり、これまでのような境界型のセキュリティではなく、社内外を分けないセキュリティ対策が求められます。
「わが社は信頼関係がモットー。何でもかんでも疑ってかかるのはいかがなものか」という経営者の方も少なくないかと思います。しかしクラウドサービスやテレワークが当たり前の現在では、セキュリティ対策において、これまでの「境界型」ではなく、「ゼロトラスト」の考え方を取り入れることにより、

• 強固なセキュリティ体制が実現できる
• 万が一侵入されてもアクセスできる情報が限られるため情報流出のリスクを最小限に抑えられる

といったメリットの方が大きいといえます。これからは、ゼロトラストの考えを取り入れたうえで適切なセキュリティ対策ツールを選ぶことが、ますます重要になってくるでしょう。

*3 5
*4 디지털

ゼロデイ攻撃、内部不正など、情報セキュリティの脅威にはさまざまなものがあり、どんどん新しい手法や「抜け穴」が出てくるため、情報の流出を完璧に防ぐのはなかなか難しいといわれています。しかし適切な対策を行うことで、かなりの効果を上げることができることもまた事実です。

ソフトウェアを常に最新の状態に！

脆弱性OS 또는 소프트웨어의 일부입니다 따라서 많은 경우 버전을 업데이트하는 동안 이러한 수정 사항이 작성됩니다 응급 상황의 경우 "보안 패치"(※ 5)라는 추가 프로그램이 공급 업체로부터 배포 될 수 있습니다
なお、こうした対策を講じるまでの「空白期間」こそが、ゼロデイ攻撃にとっては狙い目です。それを防御するためには、追加または更新プログラムをできるだけ速やかに適用するのがベストですが、普段からできる対策としては以下のものが挙げられます。

〈研修などにより従業員の情報セキュリティ意識を高める〉

Shadow IT와 같은 지식없이 직원이 자신의 지식없이 수행 한 상황을 피하려면 (※ 6), 일일 교육 및 기타 수단을 통해 직원 보안 인식을 높이는 것이 중요합니다 보안 조치가 거의없는 개인용 컴퓨터, 스마트 폰 등 사용을 자제하십시오

- 포괄적 인 보안 기능을 통합하는 UTM 소개>

UTM(일본어로 "Unified Threat Management")는 주로 LAN과 인터넷 사이에 설치되는 여러 보안 기능의 통합입니다ゲートウェイ（※7）のことです。UTMで集中管理することで、攻撃者がネットワークの脆弱性をついてくるさまざまなケースに備えることができます。

このようにひとつだけの対策に頼るのではなく、幅広い情報セキュリティ対策をとることが、ひいては企業価値を高めることにもつながっていきます。さまざまな脅威から企業を守っていくためには、最新の情報を把握したうえで、しっかりした対策をとることが欠かせないのです。

※5脆弱性を解消するための修正プログラムのこと。服に空いた穴に当てる布（パッチ）に由来。
※6 会社が関知しない、あるいは利用ルールを決めていない機器やサービスを使って従業員が業務を行っている状態。
※7 「玄関」や「入り口」の意。異なるネットワーク同士を中継ぎする仕組みのこと。

지금까지, 우리는 IPA가 발표 한 최신 "10 주요 정보 보안 위협 2022"에 대한 사회적 배경, 트렌드 및 대책을 설명했습니다 과거에는 "조치를 준비한"회사가 많이 있다고 생각합니다 하지만 정말 충분 했습니까? 새로운 위협에 대한 준비가 될 수 있습니까? 2022 년에 필요한 것에 대해 다시 한 번 생각해 보시기 바랍니다

サクサでは、「従来の方法では防げないサイバー脅威にも対応したい」「ウイルス侵入されてもリスクを最小限に抑えたい」といった中堅・中小企業の声に寄り添い、解決に向けてサポートいたします。
最新のセキュリティリスクに対応し、外部からの攻撃だけでなく内部からの情報流出などに対応する「UTM（統合脅威管理アプライアンス）」をはじめ、ニューノーマルな働き方、市場環境や社会ニーズの変化など、時代の流れに合わせた課題解決にも、トータルサービスでお応えします。みなさまからのご相談・お問い合わせをお待ちしております。