情報セキュリティ「組織」の10大脅威(2018版)の超個人的解釈

前回、情報セキュリティ「個人」の10大脅威(2018版)の超個人的解釈続き、組織編です。

情報セキュリティ10大脅威 2018

https://www.ipa.go.jp/security/vuln/10threats2018.html

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 via kwout

この表で新たに入った項目と落ちたものについて考えてみました。

前回は「個人」の脅威について

 ランクイン → 偽警告ランク落ち → インターネット上のサービスを悪用した攻撃(9位)からみましたので、

今回は「組織」の脅威を同じアプローチで行きます。

ちょっとだけ昨日の記事に戻りますが、Microsoft、ユーザー脅して購入迫るプログラムを「迷惑プログラム」として削除へという取り組みが3月からはじまるそうです。こういう根本的な取り組みはいいですね!

組織 の脅威

ランクイン → 

 ビジネスメール詐欺

JALで起きた事件が記憶に新しいです。

これメールで起きましたが、古典的な郵送郵便物ならばタウンページ広告詐欺がありました。媒体と規模、金額が違うだけで似たようなものです。メール内容も如何にもななりすましをするので間違ってしまうのです。しかし、なりすましの電話ならばメールよりも緩くなりそうな感じがします。

ちょっと偉そうな話し方で、架空の誰かを演じて相手に勝手に想像させるのです。極々一般的なセキュリティ教育でするような”なりすまし”のことです。

・・・一方で、メールよりも厄介なのは、本物な方々が普通に同じ方法でアプローチしてくることです。なりすましでなく本物で、面倒なくらい厄介です(笑) これ電話を受ける側にも教育しているのだから、本物な方々にもしっかり教育したほうがいいです。害虫駆除だって、攻防だって、両面から対策するのだから同じようなもんです。

 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

利用者の立場で言えば、これはどうにもなりません。ただ、脆弱性(弱点)の公開から、対策されるまでの時間もそれなりに早くなっていますが、

1.状態が逆転すること(弱点より対策が早くなること)は絶対になく
2.状態が弱い状態が続くことがある!
と強く認識しておけば、その対応も変わってくると思います。

例えば、パスワードが漏洩して直ぐに変えなければならない状況である。→ しかし目の前の業務を優先する等… → パスワードは後ですればいい(するしかない)という、セキュリティ事故で偶にある最もらしく聞こえるシナリオ。

事故に限らないのですかね? 必ずそれなりの言い分?があったりします。何ごとも後付で都合よくなったりするものです。が、時間的猶予がない話であっても、自身にとっての緊急性?都合?が優先されるとこのようになります(経験談)

 セキュリティ人材の不足

技術者がもの凄く足りないようです。急激な需要(と言っても随分前から言われてますが)があります。同時にセキュリティの必要な場面が増えてきたことも要因です。新しい脅威も出てきますし…

これ毎回思うのですが、セキュリティは技術だけで対応出来る訳ではないはずですが、技術に偏っています。先のビジネスメール詐欺も、脆弱性の対策についても、技術対策の有効性は重要ですが、それだけではないです。技術だけではどうにも対応出来ないことは既に書きました。

専門性人材の不足と同時に、圧倒的に多いセキュリティを守らなければならない利用者に向けての対策も考えなくてはバランスがとれなくなります。利用者に新しいセキュリティ脅威の更新ファイルをドラえもんのアンキパンのようにできればそれもアリですが、実際ムリです。ならば何かの方法を考えて対策していかなければなりません。

ランク落ち →

 ウェブサイトの改ざん(6位)

 ウェブサービスへの不正ログイン(7位)

 インターネットバンキングやクレジットカード情報の不正利用(10位)

不正ログインなどはランク落ちしてそうなイメージがないのですが、10位までのランキングの中で落ちるというよりは、別な脅威の勢いが上がってきていると考えた方がいいように思います。全体の脅威のパワーは年々雪だるま式大きくなって来ています。

不正ログインやカード等の不正利用も体感的に減少しているように思いません。

勝手にまとめましたが、流れというか脅威のトレンドもあるようです。

・・・しかし、置き換えれば、視点を変えれば、以外と身近にあるようなものだった。。。というのが感想です。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。