情報セキュリティ10大脅威2020についてハッカーが詳しく解説していく【組織編】
皆様、こんにちは。ロイです。
前回は情報セキュリティ10大脅威2020の個人編についてお話しました。
今回は、組織編ということでお話していきます。
まずはおさらいとしてランキングをおさらいしましょう!
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2020」
やはり、最新技術や2019年に起こった重大インシデントに関連する項目がランクインしています。
では、気になった項目を紹介していきまーす!
第1位:標的型攻撃による機密情報の窃取
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」
企業や民間団体そして官公庁等、特定の組織に対して、機密情報等を窃取することを目的とした標的型攻撃が発生しています。2020年初頭には、複数の防衛関連企業が不正アクセスを受けていたという報道も多数報道されました。
標的型攻撃の怖いとところは不正アクセス・情報流出が発生していることに長い間気付かないという点です。情報セキュリティに関するレポートでは「攻撃・流出に気付くのに3〜4年かかる」という報告が多く挙げられています。
標的型攻撃がなぜ気付きにくい攻撃なのか説明していきましょう!
上記の表は「サイバーキルチェーン」と呼ばれるものです。
「サイバーキルチェーン」とは2011年にアメリカのロッキード・マーティン社が提唱した概念です。ロッキードといえば戦闘機の会社ですが、実はアメリカの政府機関の情報セキュリティで非常に重要な役割を担っています。
標的型攻撃の攻撃者は、はじめにターゲットの標的の情報を集めます。集める情報としては攻撃目標が使用している対策ツールや使用しているアプリ、従業員の名前から家族構成・趣味・趣向、ペットの名前など事細かに情報を収集していきます。
そして使用している対策ツールの情報を取得してその対策ツールに検知されないようなマルウェアを作成します。その後脆弱性などを悪用してターゲットの環境に入り込み、バックドアを設置します。そのバックドアに指令を送ることで情報窃取(せっしゅ)などの目的を果たします。
最近では大企業をターゲットにした標的型攻撃よりも中小企業を標的とした攻撃が進行してると言われています。理由としては大企業に対する攻撃はすでに完了していると見ることが出来るからです。その証拠が2020年初頭に次々に発覚した防衛関連企業に対する不正アクセスです。実際に攻撃が行われたのは3〜4年前でした。
防衛関連企業でも防ぐことの難しい標的型攻撃が現在中小企業に向けられています。
「狙われている」という意識を持って注意深く対策を行っていきことが非常に重要になります。また、対策ソフトだけに頼る対策ではなく情報セキュリティの基本に忠実に「人」で守る対策が今後ますます重要になっていくと思います。
第2位:内部不正による情報漏えい
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」
組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生しています。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもあります。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与えます。
最近起きた事例としては神奈川県のハードディスクの盗難が大きなものでしょう!
それ以外でも多くの事例が報告されています。
内部不正の発生する原因としては「組織内のルールの不備」「内部不正が出来る環境」にあると思います。
「組織内のルールの不備」としては、まずもって情報セキュリティに関するルールが無い・有っても策定から一度も改定していない・機能していない、などが挙げられます。
ルールに不備があるということは内部不正に対する抑止力が無いと言えるでしょう。ルールを策定・改定していくことでやって良いこと・悪いことを明確にし指針を表明することが効果的でしょう。
「内部不正が出来る環境」としては、読んで字の如くです。スタッフ一人一人が意識して行動することで内部不正は抑止することが出来ます。不正を考えさせない・起こさせない環境を全スタッフでつくることで内部不正は防ぐことが可能です。
内部不正は簡単な方法で予防することが出来ます。しかし、多くの組織ではこれらの事柄が蔑ろにされています。そのため、内部不正の事例が減りません。
「情報セキュリティ」で一番大切なことは「人」だということを再確認して、対策を練り直すことを今一度ご提案します。
第4位:サプライチェーンの弱点を悪用した攻撃
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」
原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼びます。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となります。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われます。昨今、業務委託先組織が攻撃され、預けていた個人情報が漏えいする等の被害が発生しています。
近年のビジネスは1社ですべての業務を完結することが非常に難しくなっています。多くの企業・組織が関わりを持ってビジネスが成り立っています。その中の一つでも情報セキュリティを疎かにしてビジネスを行えばで関連の企業・組織に多大な影響を受ける可能性が有ります。
また、攻撃者側は多くの企業・組織が関わりを持っているので攻撃が行いやすくなります。なぜなら、その中で脆弱な企業・組織を狙うことで堅牢な企業を攻撃できる可能性が飛躍的に上がるからです。
IT技術は便利なものでビジネスを加速・拡大させることの出来るツールです。ですが、その反面、悪用される可能性も拡大します。IT技術の恩恵を受けるのであれば、使用する責任も追わなければいけません。「自分は大丈夫」は通用しない事を認識しなければいけません。
第6位:予期せぬIT基盤の障害に伴う業務停止
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」
組織がインターネット上のサービスや業務システム等で使用しているネットワークやクラウドサービス、データセンター設備等のIT基盤に予期せぬ障害が発生し、長時間にわたり利用者や従業員に対するサービスを提供できなくなるケースがあります。IT基盤の停止は利用している組織の事業の妨げとなり、ビジネスに大きな影響を与えるおそれがあります。
この項目が今年急浮上し再びランクインした理由としては2019年8月に発生したAWS東京リージョンの障害が原因でしょう。この障害に関してはpiyokangoさんが詳細をまとめていますので一読してみてください。(AWS 東京リージョンで発生した大規模障害についてまとめてみた)
現在のビジネスではクラウドを使用しているケースは非常に増えてきています。その為、クラウドで障害が起これば重大な影響を受けてしまいます。そのため、障害が起きた際の対処方法を今一度考えておく必要があるでしょう!!
第7位:不注意による情報漏えい(規則は遵守)
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2020」
組織や企業において、情報管理体制の不備や情報リテラシー不足等が原因となり、従業員が個人情報や機密情報を漏えいしてしまう事例が2019年も多く見られました。漏えいした情報が悪用される二次被害が発生するおそれもあるため、十分な対策が求められます。
不注意による情報漏えいはビジネスがIT化する以前から存在します。しかしながら現在も減少しません。むしろ増加してきています。
情報セキュリティに対する環境の不備・スタッフ一人一人の情報リテラシー不足・ルールの不備が起因していると思います。
メールの誤送信、FAXの誤送信、書類の置き忘れ・紛失など人的な行為は一人一人が意識的に防ぐか、ルールとしてできない環境にする必要が有ります。
しかし、利便性の追求によりそれらはないがしろにされています。情報セキュリティにおいて大切なのはバランス感覚だと思います。スタッフと話し合い適切な使い方・ルールを策定しくことが重要でしょう。
また。スタッフの情報リテラシーを向上させるために「情報セキュリティに関する従業員教育」を行うことも非常に重要な対策になります。
まとめ
組織編では多くの気になる項目を挙げました。理由としてはやはり企業・組織においては情報が命であるからです。そして、情報セキュリティはそのビジネスの命を守る行為であるからです。
一人一人が適切な意識を持つことで組織に対する攻撃・情報漏えいは格段に減らすことが出来ます。
自分が「自分の組織を守るんだ」という意識だけだ情報セキュリティ対策は格段に向上します。
対策ツールに頼る対策はもう時代遅れになりつつ有ります。これからはツールと人の融合で守っていく事が非常に重要になってくるでしょう。
また、今回ランクインしていない事例で重要な項目は多く存在しています。今回のランキング以外の事例にもアンテナを巡らせ適切な情報を知ることが重要になっていくでしょう。
今後、多くの事例を紹介していければと思います。
では、次回の記事もお楽しみしてください!
