IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。
この記事は会員限定です。会員登録すると全てご覧いただけます。
毎年2月は情報セキュリティ月間です。間もなくその内容も公開されるかと思いますが、それに先立ち、情報処理推進機構(IPA)から恒例の「情報セキュリティ10大脅威 2024」の概要が公開されました。
実は今回、大変大きな動きがありました。といっても脅威への心構えには変わらず対応をしてほしいという、情報セキュリティ10大脅威を選定するセキュリティ識者からの、力強いメッセージが含まれています。
早速、2024年版の10大脅威を見ていきましょう。個人編と組織編の2つに分かれて10のトピックが選定されているのは今まで通りですが、これまでと少し異なるのは脅威のピックアップの仕方が変更になっている点です。
「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) | |
---|---|---|---|
・ | インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
・ | インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
・ | クレジットカード情報の不正利用 | 2016年 | 9年連続9回目 |
・ | スマホ決済の不正利用 | 2020年 | 5年連続5回目 |
・ | 偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
・ | ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
・ | フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
・ | 不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
・ | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
・ | ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
(出典:IPAの「情報セキュリティ10大脅威 2024」のWebサイトより)
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
(出典:IPAの「情報セキュリティ10大脅威 2024」のWebサイトより)
今回特筆すべきは、個人においては「順位」がなくなっていることです。ピックアップされた脅威だけでなく、下記の一文もしっかり読んで、その理由を理解しておきましょう。
10大脅威 2024では、個人の10大脅威の順位は掲載せず、五十音順で並べています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策がおろそかになることを懸念してのことです。順位にかかわらず自身に関係のある脅威に対して対策を行うことを期待しています。
(IPAの「情報セキュリティ10大脅威 2024」のWebサイトより)
筆者としてはこれは重要なメッセージであると考えています。順位の優劣は選出する識者も大いに悩んでいたのではないかと思いますが、例えば1位の脅威にはすぐ対応するけれど10位の対応は後回しでいいというわけではなく、自分自身の立ち位置を考え、順位が低くても、ランク外であったとしても対応しなければならないものもあるはずです。その意味で、個人向けの対応に関して順位を設定せず、どれも重要である、と述べているのは素晴らしい決断だと思いました。今後は組織向けの10大脅威も同様になっていくのかもしれません。
今回の10大脅威のリストはあくまでもトピックの先出しで、詳細やその対策方法のガイドは2024年2月下旬に公開される予定です。その時また、本コラムでも触れようと思います。
さて、IPAがランキングを表示しなかったことを最大限尊重する視点に立つと、本稿において過去のランキングからどう変化したかなどを書くのは無粋かと思いますので、気になる方はこれまでの10大脅威と見比べてみていただきたいところです。IPAはWebサイトで2014年以降の10大脅威が見られるようにしています。
このリストを見るとすぐに気が付くのは、ランキングがなくなったという大きな変化とは対照的に、個人編・組織編ともに2024年になって新たに出現した脅威はない、ということです。つまり、これまでに実行してきた/やるべき対策を、2024年も引き続き注力する必要があるということです。
もちろん、そう簡単に未来を予測できないので、明日にでもこれまでにないタイプの攻撃が来るかもしれません。しかしセキュリティはやはり基礎がものをいう世界です。引き続きランサムウェアをはじめとしたマルウェア対策やパスワードの管理、多要素認証、そしてビジネスメール詐欺などへの備えが重要でしょう。
組織編についても、従来は前年からの順位変動を記載していましたが、これも個人と同様、誤解を生む可能性があるためか記載がなくなりました。代わりに登場したのは、初めてピックアップされてからどれだけの時間が経過しているかというものです。ランサムウェア攻撃については、組織では「9年連続9回目」となっており、引き続き喫緊の問題であることが分かります。逆に言えば、9年間も注意喚起が続いているのに、対策がうまくいっていないこと、攻撃者が相変わらず優位に立っていることが、今回最も考えるべきことかもしれません。
「情報セキュリティ10大脅威」は1年を通じてさまざまな場所で目にするようになります。特にセキュリティベンダーは現状を紹介するプレゼンテーション資料の冒頭に、このリストを必ず入れるほどのものです。しかし、そこからつながるソリューションはいわゆるバズワード的なものであることも多く、カタログスペック的には夢のような言葉が並んではいるものの、使いこなしが難しかったり、既にセキュリティレベルが高い組織でないと運用が難しかったりするものもたくさんあります。
10大脅威で挙げられている項目をよく見ると、その対策はメールセキュリティやバックアップ、内部統制管理といった、かつて大きく盛り上がり、いつの間にか「できていることになっている」ソリューション群が有効なものが多いはずです。注目すべきは、そういった基礎部分なのではないでしょうか。
その意味で、情報セキュリティ10大脅威の取り上げ方の変化は、私たちが考え直さねばならない問題を浮かび上がらせてくれたような気がします。また、ランキングという「縛り」を外したことで、10選から外れた「ランク外」脅威にどのようなものがピックアップされたかも非常に気になるところですので、いつかそういった「2024年のスポットライト」的脅威リストも、上級者向けに公開してほしいと思います。
情報セキュリティ月間の目玉ともいえる、2月下旬に公開される資料も非常に楽しみです。関連したスタッフやセキュリティ識者たちに感謝しつつ、皆さんもぜひ、チェックしてみてください。
Copyright © ITmedia, Inc. All Rights Reserved.