「情報セキュリティ白書」2023年版が公開 見どころを解説：半径300メートルのIT

IPAは2023年の「情報セキュリティ白書」を公開しました。PDF版は無償でダウンロードできます。本コラムではセキュリティに関わる方必見の見どころを紹介します。

[宮田健，ITmedia]

　情報処理推進機構（IPA）から、2023年の「情報セキュリティ白書」が公開されました。書籍版は有料ですが、PDF版は簡単なアンケートに答えるだけで無償で読めます。ぜひ皆さまも手元に置いてほしい、大変有用な資料に仕上がっています。

とうとう公開された「情報セキュリティ白書2023」（出典：IPAのWebサイト）

　情報セキュリティ白書は、これまでに国内で公開された信頼できる調査資料のインデックスとして利用できるものです。数値をベースにした統計情報に加えて、2022年に起きたさまざまな出来事やサイバー攻撃の手口などが幅広く取り上げられています。IPAは毎年「情報セキュリティ10大脅威」を公開していますが、そのさらに上位に置かれた資料と考えてよいかもしれません。

2022年のセキュリティを総括する一冊。見どころを紹介

　冒頭、序章の1ページと年表からして、2022年の濃さがうかがい知れる内容となっています。「ウクライナ侵攻による不安」「ランサムウェア・アズ・ア・サービス（RaaS）の普及」「USBメモリ紛失」「偽SMSによるフィッシング」「ビジネスメール詐欺やDDoS攻撃」といった世間で話題になった出来事が多数取り上げられています。

　皆さんご存じの通り、2022年3月には部品メーカーでのランサムウェア被害によって、大手自動車工場が操業をストップするという“サプライチェーンリスク”の事例もありましたし、医療機関においてもランサムウェア攻撃によって電子カルテシステムに障害が発生し、大きな話題になりました。

　筆者の肌感覚では、2023年は既にさらに多くの被害事例が明らかになっていますが、これでも“序章にすぎない”ような気がしています。"サイバー攻撃の件数が増加しているのではなく、企業の検知能力が高まっている"のであればいいのですが……。

　本白書でも、1.2節の情報セキュリティインシデントの手口と対策において、大々的にランサムウェア攻撃をピックアップしています。これまでの事例を紹介するとともに、どう対策するべきかのガイドも含まれています。ただ、被害を受けないための対策というよりも「被害を受けたとしても影響を最小限にするためにどうしたらよいか」に重点が置かれているようです。

　その他、同白書では、警察庁が公開した資料「令和4年におけるサイバー空間をめぐる脅威の情勢等について」における“ランサムウェア被害に遭った組織がバックアップを採っているかどうか”という統計数値についても取り上げています。

　これによると、バックアップを取得していたのは被害に遭った組織のうち83％（116／139件）でしたが、「バックアップから被害直前の水準まで復旧できなかった」と回答したのは、実に81％（90／111件）と、示唆に富む情報が提示されています。皆さんもこれを機に、取得したバックアップを使って復旧できるようマニュアルを作成してテストを実施してください。

約8割がバックアップから復旧できていない（出典：警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」から抜粋）

組織だけでなく個人を狙ったサイバー攻撃も網羅

　同白書では、標的型攻撃やビジネスメール詐欺、脆弱（ぜいじゃく）性を突いた攻撃など、組織が気にすべきセキュリティに関する、一通りのガイドがまとめられています。これを読むだけでも、理解度が変わるのではないかと思います。基本的には組織が考えるべきリスク対策として読んでほしいのですが、個人を狙ったサイバー攻撃などもカバーされていますので、多くの方に目を通してもらいたい資料です。

　1.2.7節「個人を狙うSMS・SNS・メールを悪用した手口」では、最新の攻撃を前提とした情報がまとめられています。今でも「サポート詐欺」と呼ばれるような、PCを使っていると（広告を通じて）偽のセキュリティアラートを模した画面が突然表示され、遠隔操作ソフトなどをインストールさせるといった手口が多く観測されています。

　PCに詳しい方ならだまされないかもしれませんが、もしこれが家族に表示されてしまい、だまされてしまった場合は金銭的な損失以上に、精神的にもまいってしまうことが予想できます。全く人ごとには思えない話ですので、皆さんもほんの少し頭の中に入れておいてください。

　情報セキュリティ白書では「便利な技術は悪用される」というタイトルのコラムも掲載されています。これはサイバー犯罪が、映画やドラマに登場する“スゴ腕ハッカー”によるものであるというイメージとは異なり、実際には淡々とした詐欺手法を使って、あなた自身の脆弱性を狙うということを再認識させてくれます。

　メディアにおいて、以前大きく話題になった手法が継続して取り上げられることはまれです。しかし報道が無くなったからといって決して事態が沈静化したわけではありません。本白書ではそのようなタイプの攻撃もしっかりとカバーしています。本当に参考になる資料かと思います。

　その他、同白書の第2章では情報セキュリティを支える基盤として、国内でどのようなプレイヤーが情報セキュリティを守るべく動いているのか、なかなか見えにくい部分に光を当てています。第3章では個別テーマとして、制御システムやIoT、さらには虚偽情報拡散の脅威が取り上げられています。虚偽情報に関するトピックは、知らなければ対策はほぼ不可能であるため、フラットにまとめられたこの項は必見です。

　組織や個人においてもセキュリティの取り組みを変えていかなければ、攻撃者にとってより動きやすい世界になってしまうのではないかと危惧しています。いきなり白書の内容を全部理解できる人になれとは言いませんが「ちょっと読んでみようかな？」と思っていただければ、筆者としても本当にうれしいです。情報セキュリティへの対策で損をすることは恐らくないと思います。ぜひ、ちょっとだけでも目を通してみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。