情報セキュリティ10大脅威 2018(その4)
クローバーフィールドの杉山です。
いよいよ情報セキュリティ10大脅威 2018の最終回です。
長かった、でも記事にしておくネタがあって良かった。
第5位 セキュリティ人材の不足
ランク外から5位に急浮上です。
インターネットを利用したビジネスが常識となり様々なデバイスがネットワークに接続されています。
当然、ネットワークからの侵入などに関するセキュリティが重要な課題になります。
マイナンバーの導入に伴い個人の情報が一つに集約される方向に向かっています。
個人の情報をしっかり取り扱って活用するためにもセキュリティが重要です。
また、個人情報以外にも事業を営む上で必要な情報をキッチリと管理しないと会計に関する情報、営業に関する情報、製造に関する情報など社員が日々努力して築いてきた企業の秘密を盗む輩がいます。
しっかり情報の管理をしている実態が無いと不届きものを法に訴えるすべがありません。
そして、スマートフォンの爆発的な普及により老若男女がインターネットに接続してSNSなどに個人情報を公開し、延々と様々な情報にアクセスしています。
日本は、情報セキュリティに対する啓もう活動とセキュリティの知識を持った技術者を育成することを重要事項としています。
セキュリティを考慮したシステムの構築、運用設計、保守行える技術者が求められるでしょう。
製造面においてもセキュアなプログラミングが必須となります。
第4位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
こちらも昨年はランク外から入ってきました。
日本国内で利用しているソフトウェアのセキュリティに関する問題は、発見した企業や個人からIPA、JPCERT/CCに連携されソフトウェアを開発した企業と調整しながら脆弱性情報が公開されます。
脆弱性に関する情報は、JVNで公開されます。
JVNの情報を定期的にチェックしてシステムで利用しているソフトウェアに脆弱性が発見された場合、パッチの適用などを行うようにしましょう。
と、言いながら稼働中のシステムにパッチを即適用とかないのが現実です。
脆弱性があることを把握しながら運用、保守をしていく必要があります。
第3位 ビジネスメール詐欺
三つ続けてのランク外からです。
企業に対して偽の請求メールなどを送り付けて金銭をだまし取る詐欺の被害があります。
昨年のニュースにも、海外の大手企業が標的にされて代金を振り込んでしまった事例がありました。
日本は日本語の壁があるため海外のクラッカーからの攻撃のトレンドが遅れてくることが多いです。
また、国際情勢を考慮するとお隣のややこしい国が資金を入手するためにこの手口を日本語で行ってくる可能性が高いです。
架空の請求に対するチェック機構を社内で構築する必要があるでしょう。
第2位 ランサムウェアによる被害
個人の部門でも2位になっていたランサムウェア。
パソコン、スマートフォンに重要な情報が保存されるため効果的な攻撃と言えるでしょう。
被害を受けた場合に身代金を払ったからと言って、情報が復元されることは期待薄です。
バックアップを定期的に取得することが大事です。
また、企業内でランサムウェアの被害にあった場合、ネットワークからの遮断や情報の伝達、対応について検討が必要だと考えます。このあたりの対応は、ウイルス感染と同じですよね。
第1位 標的型攻撃による情報流出
三年連続の一位です。スリータイムスチャンピオンです。
この標的型攻撃の目的として組織内の情報搾取なのですが、顧客リストなどの情報以外にも2位のランサムウェアの送り込み先、3位のビジネスメール詐欺の送付先の情報取得も行っていると考えます。
組織に向けての攻撃の起点となるため今後も対策が重要になります。
うっかり不審なメールを開かない、添付ファイルを開かないのが定石なのですが、他社から搾取した情報をもとにメールを送り付けるなど手口が巧妙になってきているのが現実です。
被害の防止と被害にあった場合の対策を検討する必要がありますね。
個人、組織ともネットワークに常時接続している状態が普通になっています。
入口があるとなれば悪意のある輩が悪さをしでかそうとします。
便利先とトレードオフになります。
被害が発生してからの対応では遅いので、ある程度情報収集と対策の検討が必要です。
そして、外部からの脅威以上のなのが内部犯行です。
まあ、一定数犯罪の一線を越えてしまうものがいるのも現実です。
社員の教育とセキュリティを意識した情報の取り扱いを行うようにしましょう。
と、言う訳で「情報セキュリティ10大脅威 2018」は完結です。