令和6年度中小企業サイバー
セキュリティ社内体制整備事業

0120-138-166

受付時間 9:00〜17:00(平日のみ)

ade.jp.shanaitaisei@jp.adecco.com

サイトマップ
文字サイズ

5-1. 情報セキュリティの概況

5-1-1. 情報セキュリティの脅威を学ぶ

 情報セキュリティは、個人のユーザーから国の重要インフラやグローバルの通信インフラまで、あらゆるレベルで重要な課題となっています。情報技術(IT)の進歩と普及により、私たちの生活はますます情報システムに依存したものになっています。しかし、便利さの一方で、情報漏えいや不正アクセスといったさまざまな脅威にさらされています。その脅威を理解することは、組織や個人の情報セキュリティレベルの向上に有効です。組織を構成する個人がセキュリティの基本的な知識を持つことで、組織全体の情報セキュリティレベルの向上が期待できます。
どのような脅威があるかは、IPAが公開する「情報セキュリティ白書」や「情報セキュリティ10大脅威」が参考になります。「情報セキュリティ白書」は、情報セキュリティの現状とその将来の展望を示し、情報セキュリティの傾向と課題を詳細に解説しています。「情報セキュリティ10大脅威」は、1年間で注目を集めた脅威について事例やセキュリティ対策などを紹介しています。

脅威情報
目的
最新の脅威情報を収集することによって、攻撃の傾向や手法、セキュリティリスクを把握し、適切な予防策やセキュリティ対策を講じること
学べる内容
・攻撃手法や攻撃者の手口
・最近の攻撃傾向
・脅威に対するセキュリティ対策方法
活用例
・攻撃の予防
・セキュリティリスク管理、対策の強化
セキュリティポリシーの改善
セキュリティインシデントへの対応
・脅威トレンドの把握、共有
・セキュリティ意識の向上

詳細理解のため参考となる文献(参考文献)

  • 情報セキュリティ白書2023
  • 情報セキュリティ10大脅威 2024

    • 5-1-2. IPA:情報セキュリティ白書から見る脅威

     情報セキュリティ白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックのほか、その年ならではの象徴的なトピックを取り上げています。本書情報セキュリティ白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックのほか、その年ならではの象徴的なトピックを取り上げています。本書を通して、情報セキュリティ分野の全体を把握できます。情報セキュリティ白書は、IPAによって平成20年から毎年発行されています。
    令和5年7月に刊行された「情報セキュリティ白書2023」は、令和4年度のサイバー攻撃による実際の被害やセキュリティ対策など、情報を守るための最新情報をまとめています。

    情報セキュリティ白書2023

    図8. 情報セキュリティ白書2023

    情報セキュリティ白書2023の記載内容
    ・序章 令和4年度の情報セキュリティの概況
    ・情報セキュリティインシデント脆弱性の現状と対策
    ・情報セキュリティを支える基盤の動向
    ・個別テーマ
    ・付録 資料・ツール

    サイバー攻撃の内容を知りたい

    活用例
    標的型攻撃ランサムウェア攻撃などの事例、手口やセキュリティ対策を知ることができる
    ・社内の注意喚起に利用する

    セキュリティ人材の育成方法を知りたい

    活用例
    ICSCoE中核人材育成プログラムセキュリティ・キャンプの活動を知る
    ・人材育成のための国家試験や国家資格について知る

    セキュリティ対策の進め方が知りたい

    活用例
    SECURITY ACTIONサイバーセキュリティお助け隊サービス制度などの活動を知り、自社で取り組む

    詳細理解のため参考となる文献(参考文献)

  • サイバーセキュリティ経営ガイドラインVer 3.0
  • SECURITY ACTION セキュリティ対策自己宣言
  • サイバーセキュリティお助け隊サービス制度
  • セキュリティ・キャンプ
  • ICSCoE中核人材育成プログラム

    •  中小企業における情報セキュリティ対策の重要性はますます高まっています。デジタル化の進展により、重要なデータや顧客情報の保護は喫緊の課題となっています。情報セキュリティの重要性が高まる中、私たちが直面する主要なリスクには以下のようなものが挙げられます。

    主要なリスク

     情報セキュリティ白書では、1年間のインシデント状況を紹介しています。それによると情報セキュリティの脅威は年々増加しており、2021年の情報セキュリティインシデント報道件数は769件となり、前年比で43.2%増加しました(図9)。5
    2019年からの情報セキュリティインシデント報道件数の増加は明らかであり、今後もその数はさらに増加すると見込まれています。

    5 IPA.”情報セキュリティ白書2022”. ”https://www.ipa.go.jp/publish/wp-security/sec-2022.html

    情報セキュリティインシデント報道件数

    図9. 情報セキュリティインシデント報道件数
    (出典) MBSD社による集計情報を基に作成

    5-1-3. IPA:情報セキュリティ10大脅威

     「情報セキュリティ10大脅威」は、IPAが毎年発表している、情報セキュリティ分野において特に注意すべき脅威のトップ10が「個人」と「組織」に分けてリストアップされています。過去1年間に発生したセキュリティインシデントや攻撃の状況をもとに、情報セキュリティ分野の研究者と実務担当者などによる審議・投票によって10個の脅威が選定されています。これを活用することで、何を重視してセキュリティ対策を実施すれば良いのかがわかります。
    順位に関わらず自身に関係のある脅威に対してセキュリティ対策を行うことが重要です。

    情報セキュリティ10大脅威の活用法:組織の検討例
    1.「守るべきもの」の明確化
    自社の守るべきものを明確にします。
    ・業務プロセス:取引先との受注業務
    ・情報データ:取引先情報や受注先情報
    ・システム、サービス、機器:社内ITシステムとその構成機器
    ・その他:取引先との信頼関係など
    2.自社にとっての脅威の抽出
    情報セキュリティ10大脅威を参考にして自社の守るべきものに対する脅威を抽出します。
    脅威が生じた場合の被害額を算出し、会社の経営方針を考慮し、優先順位をつけます。
    ランサムウェア感染による社内ITシステムの使用不能・脅迫(ランサムウェアによる被害)
    ・取引先である大企業へのサイバー攻撃踏み台として悪用(サプライチェーンの弱点を悪用した攻撃)
    ・従業員による顧客情報や取引情報の不正持ち出し(内部不正による情報漏えい)
    3.対策候補(ベストプラクティス)の洗い出し
    抽出した脅威に対する対策候補(ベストプラクティス)を洗い出します。
    ・被害の予防:不正アクセス対策、バックアップの取得、基本方針の策定、情報セキュリティの認証取得など
    ・被害の早期検知:システムの操作履歴の監視など
    ・被害を受けた後の対応:CSIRT、関係者への連絡、影響調査、バックアップからの復旧、復号ツールの活用など
    4.実施する対策の選定
    洗い出した各対策候補に対して現状を整理し、未実施内容に対しての対策を選定します。
    ①実施状況を確認(実施済み、一部実施、要調査など)
    ②対応計画を立案
    ③対策の実施

    (出典) IPA「情報セキュリティ10大脅威の活用法 2024」をもとに作成

    詳細理解のため参考となる文献(参考文献)

  • 情報セキュリティ 10 大脅威の活用法2024

    •  「情報セキュリティ10大脅威 2024」の組織向け脅威(1~10位)を紹介します。

    1位
    ランサムウェアによる被害 攻撃者は、PCやサーバをランサムウェアに感染させ、さまざまな脅迫を行い、金銭を要求します。組織の規模や業種に関係なく攻撃が行われているという点に注意が必要です。
    事例:VPN(Virtual Private Network)経由で侵入、ランサムウェアを横展開(某地域購買生協)
    11台のサーバ内の情報がランサムウェア暗号化されました。暗号化されたデータには約49万人の個人情報が含まれていました。攻撃者は、ネットワーク機器の脆弱性を悪用してVPN経由で侵入し、ランサムウェアを横展開しました。
    2位
    サプライチェーンの弱点を悪用した攻撃 直接攻撃が困難な組織に対し、標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社などを攻撃し、踏み台にして標的組織に侵入する攻撃です。
    事例:委託先のシステムを介して不正アクセス、顧客情報漏えい(保険会社)
    複数の保険会社で、業務委託先から顧客の個人情報が流出しました。流出の規模は、多いところで約130万人分におよびました。原因は、業務委託先の適切なセキュリティ対策がされていないサーバへの不正アクセスでした。
    3位
    内部不正による情報漏えい等の被害 従業員や元従業員などの組織関係者による機密情報の持ち出しや社内情報の削除などの不正行為が発生しています。
    事例:前職場が保有する名刺情報を転職先に提供(人材派遣会社)
    従業員は同業他社に転職する直前に、転職元の名刺情報管理システムにログインするためのIDとパスワードを転職先の従業員に共有していました。不正に取得された名刺情報は転職先の営業活動に使用されました。
    4位
    標的型攻撃による機密情報の窃取 標的型攻撃は、特定の組織(企業、官公庁、民間団体など)を狙う攻撃のことです。攻撃者は社会や働き方の変化に合わせて攻撃手口を変えるなど、組織の状況に応じた巧みな攻撃手法を用いることに注意が必要です。
    事例:不正アクセス、機微情報含まず(国立研究開発法人)
    ネットワーク機器の脆弱性を悪用し、一般業務用の管理サーバに不正アクセスされました。
    5位
    修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃 ゼロデイ攻撃は、ソフトウェアの開発ベンダーなどが脆弱性対策情報を公開する前に、脆弱性を悪用する攻撃のことです。事業やサービスが停止するなど、多くのシステムやユーザーに被害が及ぶことがあります。
    事例:ファイル圧縮ソフトウェア
    ファイル圧縮ソフトウェアの一部の脆弱性ゼロデイ攻撃に悪用されていることがわかりました。スクリプトを実行させることが可能になる脆弱性でした。
    6位
    不注意による情報漏えい等の被害 システムの設定ミスによる非公開情報の公開や、個人情報を含んだ記憶媒体の紛失など、不注意による機密情報の漏えいが発生しています。
    事例:個人情報をコピーしたUSBメモリを紛失(市民病院)
    再委託先担当者が132人分の個人情報を含むデータをUSBメモリにコピーして持ち出し、紛失しました。
    7位
    脆弱性対策情報の公開に伴う悪用増加 脆弱性対策の公開情報を悪用して、脆弱性対策の実施が遅れている製品・システムのセキュリティホールを狙うという攻撃が発生しています。近年、情報の公開から攻撃が本格化するまでの時間が短くなっています。
    事例:脆弱性を修正した機器へ継続的な攻撃(メールセキュリティ製品)
    脆弱性の修正対応後も、特定の組織では、攻撃者による新たなバックドアの設置や、ネットワーク上での横展開など、継続的な攻撃活動が確認されています。
    8位
    ビジネスメール詐欺による金銭被害 悪意のある第三者が標的組織やその取引先の従業員などになりすましてメールを送信し、あらかじめ用意した偽の銀行口座に金銭を振り込ませるという詐欺です。
    事例:信頼できる取引先を騙るメール詐欺(医療製品企業)
    支払口座の変更依頼が書かれた、取引先の名を騙るメールに従い、虚偽の銀行口座に総額2億円振り込みをしたことを公表しました。
    9位
    テレワーク等のニューノーマルな働き方を狙った攻撃 テレワークに活用されるVPNサービスなどを狙った攻撃が、引き続き行われています。
    事例:在宅勤務用のリモートアクセス経路より侵入の疑い(製造業)
    攻撃者がリモートアクセス経路から侵入し、ランサムウェアでデータセンターや国内拠点の一部サーバに保存されていたデータを暗号化しました。結果、約6万件の個人情報が外部に流出しました。
    10位
    犯罪のビジネス化(アンダーグラウンドサービス アンダーグラウンド市場では、アカウントのIDやパスワード、クレジットカード情報、ウイルスなどが売買されています。話題のサービスのアカウント情報も売買されており、多要素認証を取り入れるなどのセキュリティ対策が重要です。
    事例:国内製造業の情報がダークウェブに流出(製造業)
    ダークウェブ上にアカウント情報や機密文書がアップロードされていることが判明しました。

    (出典) IPA「情報セキュリティ10大脅威 2024」をもとに作成

    編集後記 5-2. 重大インシデント事例から学ぶ課題解決
    目次に戻る
    中小企業向けサイバーセキュリティ対策の極意
    ページトップへ戻る