「情報セキュリティ10大脅威」を読んだ営業の素朴な疑問に答えてみた：半径300メートルのIT

IPAが公開する「情報セキュリティ10大脅威」には長い歴史があります。変化の激しいセキュリティの世界、ランクインした脅威の変遷を見ていると新たな発見があるかもしれません。

[宮田健，ITmedia]

　先日、アイティメディアの営業スタッフから「セキュリティの現状を学びたい」と相談を受けました。これ幸いと話を聞くと、情報処理推進機構（IPA）が毎年公開している「情報セキュリティ10大脅威」を予習してきたと言うではありませんか。

　その営業スタッフは、約10年に及ぶ同ランキングの推移を見て自分なりに感じたことをまとめたそうで、少しの時間ディスカッションしてみました。結果として、筆者も考えるべきところがありましたので、今回はその話を取り上げたいと思います。

「情報セキュリティ10大脅威」の変遷から何を読み取るか？

　情報セキュリティ10大脅威は、IPAが毎年1月末頃、前年に発生したインシデントなどを参考に、セキュリティ有識者による投票から「個人」「組織」の2部門でそれぞれ10個の脅威をランキング形式で発表、解説するものです。本連載で何度も取り上げているため、読者の皆さんの中でも知っている方は多いでしょう。なお、2022年の10大脅威は下記の結果となっています。

情報セキュリティ10大脅威 2022（出典：IPAのWebサイト）

　IPAのWebサイトを見ると、最も昔の情報としては「情報セキュリティ白書」の2006年版から編集した10大脅威が公開されており、そこから2022年までの推移を確認できます。ちなみに2006年版を見ると1位は「事件化するSQLインジェクション」、2位は「Winnyを通じたウイルス感染による情報漏えいの多発」と時代を感じさせる内容でした。

　営業スタッフとのディスカッションに話を戻すと、同スタッフが「標的型攻撃が随分と長い間上位に残り続けていて意外だった」と話していたのが印象的でした。確かに標的型攻撃といえば、以前は高度な技術を持つサイバー攻撃者が、重要インフラや巨大企業などを標的として、深く静かに侵入して情報を奪っていく……といったものを指していたかと思います。

　しかし今では、業種や業態を問わずこうしたサイバー攻撃が当たり前に実行されるようになりました。サプライチェーン狙った高度な攻撃が増加し、「ウチは狙われるような有名企業でもないし、重要な情報もないよ」という企業も攻撃されるようになっているのです。

　ただ、こうした状況にもかかわらず「標的型攻撃対策のソリューションを導入しましょう！」といった動きはそこまで活発化していないように思えます。情報セキュリティ10大脅威の標的型攻撃に関する解説でも、「情報の管理と運用ルール策定」や「攻撃の予兆/被害の早期検知」「CSIRT（Computer Security Incident Response Team）の運用によるインシデント対応」など基本的な対策が推奨されています。

　確かに、今も昔ながらの意味の標的型攻撃は実行されていますが、全体的に攻撃者のレベルが上がっています。無差別に実行されるサイバー攻撃がかつての標的型攻撃と同等になったと考えてください。同じ標的型攻撃という言葉でも、その意味が少しずつ変化していると考えていいかもしれません。

上位でなくとも“脅威”に違いはない

　営業スタッフからはその他、「『多くのセキュリティベンダーが外部からのサイバー攻撃を防ぐソリューションを出しているので、相対的に内部不正対策が高まっているのではないか』と予想したが、実際にはそこまで対策の機運が高まっているわけではなかった」というコメントも聞きました。これは筆者としても同感で、企業は今後、内部不正対策により注目する必要があると感じています。

　情報セキュリティ10大脅威の2015年度版では、第2位に「内部不正による情報漏えい」がランクインしています。“ピン”ときた方もいらっしゃると思いますが、2014年にはあのベネッセにおける個人情報の漏えい事故が発生しています。

　このように大型のインシデントが発生すると、情報漏えい対策や内部不正対策に注目が集まるのですが、最近はどうしてもランサムウェア対策の方が吹聴されており、なかなかこちらまで皆の関心が向いていないのが実情でしょう。

　ただ、こうした10大脅威の下位やランク外のものは対策しなくていいかというと、当然ですがそんなことはありません。10大脅威の上位だろうが、下位だろうが、そこに書いてなかろうが、脅威がなくなったわけではなく、あくまで相対的な順位であることは意識する必要があるでしょう。その意味で、営業スタッフがランキングの高い順位の脅威だけでなく、内部不正対策にも注目したのは非常に素晴らしいと思います。

セキュリティの現状をもう一度客観視してみよう

　視点が異なれば注目する点も千差万別で、どの立場でも発見があると思います。今回も話を聞いていて、なるほど確かにもっと気を付けて触れなければならない点が多いと反省しました。

　もしかしたら同じことは、皆さんの組織の中でもあるかもしれません。セキュリティに限らず、立場が異なる視点でディスカッションをしてみるのは非常に良いと思います。情報システム部や経営層、そして一般従業員、それぞれの言い分もあるでしょうし、注目するリスクや失われた利便性もあるかもしれません。そういったことをディスカッションで洗い出し、現状どういった点が抜け落ちているのかをチェックしてみてはいかがでしょうか。恐らく画一的で効果判定が難しいクイズ形式のセキュリティ研修よりも効果があるのではないでしょうか。

　また、セキュリティに疑問を持ち始めた方に向けて、最初に読むのにちょうどいいドキュメントを紹介します。本当に最初の一歩を踏み出したい方には、大人でも十分に読み応えのある小学生向けコンテンツの「サイバーセキュリティのひみつ」、個人におけるセキュリティの第一歩として大変よくまとまっている、無料の「インターネットの安全・安心ハンドブック」、そして組織の一員としてぜひ押さえておきたいセキュリティの全てがまとめられた「情報セキュリティハンドブック」を年末年始にぜひご覧ください。2023年版「10大脅威」の発表の際には、今回の話を少しでも思い出してもらえればうれしいです。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。