第二のベネッセ事件を起こさないために──情報セキュリティ、10のポイント：松岡功の時事日想（3/3 ページ）

[松岡功，Business Media 誠]

2014年版 情報セキュリティの10大脅威

　この分類とともに、IPAがまとめた「2014年版 情報セキュリティ10大脅威」のランキングが、以下の表である。最近のセキュリティ脅威は、この10種類にほぼ当てはまると言っていい。

2014年版 情報セキュリティ10大脅威のランキング

順位	タイトル	分類
1	標的型メールを用いた組織へのスパイ・諜報（ちょうほう）活動	サイバー空間（領域）問題
2	不正ログイン・不正利用	ウイルス・ハッキングによるサイバー攻撃
3	Webサイトの改ざん
4	Webサービスからのユーザー情報の漏えい
5	オンラインバンキングからの不正送金
6	悪意あるスマートフォンアプリ
7	SNSへの軽率な情報公開	インターネットモラル
8	紛失や設定不備による情報漏えい	内部統制・セキュリティマネジメント
9	ウイルスを使った詐欺・恐喝	ウイルス・ハッキングによるサイバー攻撃
10	サービス妨害
（出典：IPA「2014年版 情報セキュリティ10大脅威」）

　どんなことか、順位別にポイントを挙げよう。

　1位の「標的型メールを用いた組織へのスパイ・諜報活動」は、インターネットを介して組織の機密情報を盗み取るスパイ型の攻撃である。この攻撃においては、政府機関から民間企業に至るまで幅広く狙われており、国益や企業経営を揺るがす懸案事項としてとらえられる。

　2位の「不正ログイン・不正使用」ついては、不正ログインを誘発する要因の1つに、複数のサイトで1つのパスワードを使い回していることが挙げられる。したがってユーザーは、サイトごとに異なるパスワードを設定する工夫などが求められる。

　3位の「Webサイトの改ざん」は、ウイルス感染の踏み台にも悪用される手口であり、Webサイトを運営する側は改ざんによる最終的な被害者がWebサイト閲覧者になる点を認識して、十分な対策を施しておかなければならない。

　4位の「Webサービスからのユーザー情報の漏えい」は、個人を特定する生態情報や医療情報、クレジットカード情報などの重要な個人情報を大量に保持するサービスから情報が流出してしまうこと。影響が極めて広範囲に及ぶため、十分な対策が求められる。

　5位の「オンラインバンキングからの不正送金」は、フィッシング詐欺やウイルスによってユーザーのIDやパスワードが盗まれ、本人になりすまして不正送金が行われるという手口だ。

　6位の「悪意あるスマートフォンアプリ」というのは、魅力的なコンテンツを含んでいると“見せかけた”悪意あるスマートフォンアプリのこと。スマートフォンに保存されている電話帳や閲覧履歴などの情報が知らぬ間に窃取されるというものだ。また、収集された個人情報がスパム送信や不正請求詐欺などに悪用される二次被害も確認されている。

　7位は「SNSへの軽率な情報公開」。従業員や職員が職務に関係する情報を軽率にSNSへ投稿したことが原因で、企業や組織が損害を受けるケースが見受けられる。

　8位は「紛失や設定不備による情報漏えい」。ノートPCやUSBメモリの紛失といった情報漏えい事故は以前より後を絶たない。さらにスマートデバイスやクラウドサービスが普及し、情報を保管する手段や媒体、場所が多様になったことで、情報漏えいを引き起こすリスクも拡大している。

　9位は「ウイルスを使った詐欺・恐喝」。「ランサムウェア」と呼ぶ、PCをロックして“もとに戻したければ──”と身代金を要求するウイルスによる被害が増加している。感染するとデータにアクセスできなくなる場合があるので注意が必要である。

　10位は「サービス妨害」。2013年、韓国の複数の企業や政府機関のシステムがウイルスによってデータ破壊され、サービス停止状態に陥ったことで、特に注目されるようになった。

---

　セキュリティ、IT専任者はもちろんだが、業務部門従事者である一般ビジネスパーソンも、こうした分類と10大脅威はぜひ押さえておいてほしい。これを普段の業務に生かせれば、あなたも立派な“情報セキュリティ通”である。

　ちなみに筆者がこの10大脅威で今特に注目しているのは、8位の「紛失や設定不備による情報漏えい」である。

　これはベネッセコーポレーションの個人情報流出問題（関連記事参照）における大元の原因になったからだ。ベネッセのケースでは、セキュリティが最新型スマートフォンに対応していなかったのが情報流出につながった。果たして皆さんの会社は大丈夫だろうか？