情報セキュリティ10大脅威 2024から何を捉えますか?
「情報セキュリティ10大脅威 2024」がIPAより公表されました。
個人の場合
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。
今年度から順位がなくなったようです。特に目新しいものはありませんが、
脅威がより身近に迫っているように感じます。
これは常に危険にさらされていると、更に認識しなければならないことと考えています。
組織の場合
「組織」向け脅威の種類も、全て前年と同じでした。1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は順位も昨年と変わりませんでした。3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げています。これらは、組織内の「人」が原因となる脅威です。2022年にIPAでは「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べています。外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要です。
気になったのは、9位の「テレワーク等のニューノーマルな働き方を狙った攻撃」が順位を下げている点です。社会情勢に合わせた弱点を突いているからこそ環境変化で落とし(騙し)難いということだなと見えます。肌感覚ではコロナ禍リモートワーク時のセキュリティに関わる問題は相当少なかったように感じています。このような外部攻撃、内部の漏洩や事故…ですね。
3位の「内部不正による情報漏えい等の被害」、6位の「不注意による情報漏えい等の被害」が少し上がっていますが、NTT西の漏洩事故や、設定ミス等の誤表示、誤送信が大量に起きたからです。
NTT西子会社の大規模情報漏洩で件数や期間よりも「属性」が気になる
2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分:東京商工リサーチ
ニュースに出てこない(大規模でない)漏洩事故は起きてますので、例年順位には影響していないことを記しておきます。
ここから何を捉えるか?
個人の脅威は、メインが搾取や騙しになりますが、これ気をつけてどうにかなるものと、巧みに騙されどうにもなりにくいものに分かれるように感じております。
個人情報の搾取等は、自身のミスで起きるものと、預けてあるものが自身の知らぬところで勝手に漏れていくものがありますので、これも出来ること出来ないことがあります。
それじゃあどうにもならないから、どっちでもいいよ!って訳にはいかない。せめて自身で出来ることだけも意識して注意していくことしか出来ないです。
組織の脅威はトレンドとしての流れはとても重要です。1位のランサムウェアは本当に多くありますし、2位のサプライチェーン攻撃は、麻痺するほど起きていた感じがします。やはり順位に現れるものです。
しかし組織ごとに弱点は変わってきますので、沿った弱点を見つけ対策しなければ意味がありません。俯瞰的に捉えるにはトレンドがいいですが、実際には日々起きている問題や、ヒヤリ・ハットの要素を注意して発見しなければ見えてきません。
大雑把にみて落とし込んでいく!これをどの視点で捉えるか?に尽きると思います。
何をどう捉えるか?は、組織によって変わりますので正解が複数あると思います。間違いだけでもはっきりしておきたいものです。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。