[최신 2023]
"10 주요 정보 보안 위협 2023"에 대한 생각은 현재 필요한 조치는 무엇입니까? (1 부)

まずはランキングをチェック

IPA (독립 행정 기관)
이것은 2022 년에 발생한 정보 보안 사고의 IPA 선정 후보자에 의해 결정되었으며, 정보 현장 전문가와 기업 직원을 포함하여 약 200 명의 회원으로 구성된 "10 개의 위협 선택"은 고의 및 투표에 의해 결정되었습니다 순위에는 "개인 에디션"과 "조직 판"이 포함되지만 "조직 판"을 살펴 보겠습니다

情報セキュリティ10大脅威 2023〈組織編〉

今年もランサムウェアが1位に

今回も「ランサムウェアによる被害」が昨年と同じく1位にランクインしました。2位の「サプライチェーンの弱点を悪用した攻撃」と、3位の「標的型攻撃による機密情報の窃取」も相変わらず上位を占めています。これらについて、以下、事例も挙げながら詳しく解説していきます。

【1位】身代金を要求するランサムウェア

"Ransom"은 "Ransom"을 의미합니다ランサムウェアとはつまり身代金を要求するマルウェアのことです。メールを主な感染経路としており、添付されているファイルを開いたり、リンクにアクセスしたりすると、ランサムウェアがダウンロードされるという仕組みです。ランサムウェア에 감염되면 PC 또는 기타 컴퓨터에 저장된 데이터는 암호화되어 사용할 수 없게되며 복원에 대한 대가로 지불해야합니다

〈事例〉子会社のネットワークを経由

[2nd] "연결"을 이용하는 공급망 공격

先のランサムウェアで挙げた事例もそうですが、いきなりターゲットを狙うのではなく、取引会社や関連会社を通じて不正アクセス입니다

〈事例〉取引先に被害が拡大

【3位】特定の企業を狙う標的型攻撃

従来のサイバー攻撃は、不特定多数のユーザーを狙うものが多かったのですが、近年は特定の企業や組織を狙うものが増えています。これが標的型攻撃です。目的は金銭の要求、機密情報の窃取などさまざまですが、標的を定めて巧妙に攻撃が仕掛けられる（時間をかけて計画的に実行される、何度も執拗に攻撃される）ため、なかなか対策が難しいとも言われています。

セキュリティインシデントは他人事ではない

先に挙げた事例にもあるように、「我が社のような小さな会社は大丈夫だろう」とは決して言えないことがご理解いただけるのではないかと思います。
会社には規模の大小にかかわらず、必ず顧客や複数の取引先があります。それらはネットワークを通してつながっているため、サイバー攻撃者はその脆弱性を突いてくるのです。実際、ランサムウェアの被害報告の多くは中小企業と言われています。
さらにサプライチェーン攻撃の事例からは、一社のシステム障害が大きな事態に発展することの怖さを思い知らされます。中小企業は大手企業に比べてセキュリティ対策が十分ではない可能性が高いため、攻撃者は侵入しやすいのではないかと考えます。こうした「踏み台」にされるリスクは、すべての企業に存在すると言えるでしょう。

감정을 계속 경계하고 있습니다

さらに、標的型攻撃のところで出てきたEmotetについても、今後とも注意が必要です。2022年には日本国内でEmotet의 공격 및 감염 확산되었으며 IPA는 또한주의를 기울였습니다
이것은 대기업만을 목표로하는 것은 아닙니다 이전 사례에서 도입 된 IT 관련 회사는 100 명 미만의 직원을 보유한 중소 기업입니다Emotetが厄介なのは、メールの偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶たないことです。たった一台のパソコンが感染しただけでも、被害が社内外にどんどん広がっていくリスクがあります。

ゼロデイ攻撃について

ランキング6位の「ゼロデイ攻撃」は少し耳慣れないかもしれませんので、これについても解説しておきましょう。
일반적으로 OS 및 응용 프로그램은脆弱性が発覚した場合、バージョンアップや修正プログラムによって修復が行われます。その修正日を「ワンデイ」とした場合、それより前、つまり「ゼロデイ」に行われるサイバー攻撃がゼロデイ攻撃です。
なお、ランキングの5位には「テレワーク等のニューノーマルな働き方を狙った攻撃」が入っていますが、攻撃者にしてみれば「働き方が多様化すればするほど、どこかに弱点が出てくるはず」と考えます。そんなとき、対策以前の無防備な状態が狙われるのです。

社会や経済に大きな影響が及ぶ

53741_54961ランサムウェアを始めサイバー攻撃による被害が多発し、社会や経済にも大きな影響が及んでいます」という言葉があります。
自社のことだけでなく、ひいては社会や経済にもダメージが広がる可能性を考えると、情報セキュリティ対策をあらためて「自分ごと」としてとらえる必要があると言えるでしょう。

脅威は外部からだけではない

ところで、ランキングの4位には「内部不正による情報漏えい」が入っています。また9位には「不注意による情報漏えい等の被害」もランクインしています。
これらは、リスクは社内にもあることを物語っています。情報セキュリティ対策には「外部からの攻撃に備える」というイメージがありますが、社内にも脅威が潜んでいることを忘れないでおくことも必要です。

ライバル企業への「手土産転職」

手土産転職という言葉を聞かれたことがあるでしょうか。これは従業員が転職に際して顧客情報、技術情報、機密情報などを不正に持ち出して、転職先（ライバル企業）に提供することです。内部不正の典型と言っていいでしょう。
직원뿐만 아니라 계약자, 비즈니스 파트너 또는 이미 은퇴 한 사람들도 "내부자"로 볼 수 있습니다 불행히도, "나는 그것을 믿고 당신에게 맡겼지만 믿을 수 없다"와 같은 내부 사기는 끊임없이 계속되고 있습니다

悪気はなくても情報漏洩は起きる

또한 잘못된 전송 또는 손실과 같은 "실수로 실수"로 인해情報漏洩が起きてしまうケースは意外にも多い、という報告もあります。悪気はなくても、いくらミスのないよう努めても、ヒューマンエラーは起こるものです。特に集中力や注意力が低下したときには、そのリスクが高まってしまいます。

会社の信用低下を防ぐために

そこで、情報セキュリティ対策では「ゼロトラストセキュリティ」という概念も注目されています。要は、「誰（ユーザー）も、どこ（ネットワーク）も、何（デバイス）も信じない」ということを基本スタンスとするものです。
例え誤送信であっても、情報漏洩が起きてしまうと会社の信頼にかかわります。場合によっては大きな事故に発展することもあり得ます。社会的信用の低下を招かないためにも、対策を徹底することが重要です。

ここまで、情報セキュリティ10大脅威2023の概要及びセキュリティリスクについて解説しました。後半では、様々な情報セキュリティ脅威について、対策の検討方法や具体的な対策について解説します。是非後半もご覧ください。