知っていますか？情報セキュリティの10大脅威と最新トレンド

情報セキュリティは企業運営に重要だという認識はあれど、なかなか手をつけるのが難しい、組織に根付かない、そういった悩みを持つ経営者は多いものです。昨今の情報セキュリティでは、特に教育が重要になってきており、特別なシステムの導入以上に効果を見込むことができます。

この記事では、まずは押さえておくべき情報セキュリティのトレンドについて紹介します。
　

情報セキュリティの10大脅威、どれだけ知っていますか？

IPA（情報処理推進機構）は、2019年1月に「情報セキュリティ10大脅威2019」と銘打った、個人や組織における情報セキュリティ上の脅威について昨年の実績から紹介しています。

組織についてのランキングでは、次のような項目が並んでいます。このうち、どれだけを正しく知り、対策を施しているでしょうか。

１位「標的型攻撃による被害」
２位「ビジネスメール詐欺による被害」
３位「ランサムウェアによる被害」
４位「サプライチェーンの弱点を悪用した攻撃の高まり」
５位「内部不正による情報漏えい」
６位「サービス妨害攻撃によるサービスの停止」
７位「インターネットサービスからの個人情報の窃取」
８位「IoT機器の脆弱性の顕在化」
９位「脆弱性対策情報の公開に伴う悪用増加」
10位「不注意による情報漏えい」
　

参考：IPA「情報セキュリティ10大脅威2019」
https://www.ipa.go.jp/security/vuln/10threats2019.html

最近の情報セキュリティトラブルの傾向

・「標準型攻撃」と「心理的攻撃」

最近の情報セキュリティトラブルでは、「標準型攻撃」と「心理的攻撃」が多く見られます。

「標準型攻撃」というのは、攻撃者が無作為ではなくターゲットを絞り込んで攻撃を仕掛けている攻撃をいいます。お金持ちのネットバンキング口座を狙ったり、会計担当者に対して不正な入金を促すなどの手口などです。

「心理的攻撃」とは、振り込め詐欺に代表されるような心理的な隙を利用した攻撃です。メールの送信元やファイル名を偽って攻撃を仕掛けたり、企業の社内SEが業務上のメンテナンスを装って不正に従業員からパソコンのパスワードなどを聞き出して情報を盗み出すなど、さまざまなパターンがあります。

標準型攻撃を仕掛ける攻撃者の中には、映画のスパイのように国家権力と結びついていて重要な情報を盗み出したり、サービスの破壊や停止などを行うような組織も存在しており、そういった組織にもしも狙われるようなら大きな被害は避けられません。
　

・サイバー攻撃は「楽」な相手に行われる

とはいえ、そんな組織に狙われるようなことは普通の中小企業ではまだまだないでしょう。むしろ、最近のセキュリティソフトは無料のものを含め優秀であり、滅多なことではシステムのハッキング（乗っ取り）やクラッキング（破壊）によるトラブルが生じることはありません。

攻撃する側の視点では、ハードルの高いセキュリティシステムと正面から戦うよりも、セキュリティ意識の甘い人に近寄って必要な情報を盗み出す方がずっと「楽」になっていると見ます。

そのため、サイバー攻撃は、リスクを侵さず、かつ大きなリターンを見込める「楽」な相手に対して繰り返し行われ、ITに弱い人や高齢者、未成年者などがターゲットになりやすいのです。

情報セキュリティの10大脅威2019では、パッと見た感じでは技術的な問題が並んでいるように見えますが、それぞれの項目の中では適切なセキュリティ対策が行われていなかったり、心理的な隙が狙われたりといったケースが実は多いのです。

中小企業のセキュリティ教育では、この心理的な隙に特に注意を払うことが大切です。
　

中小企業での問題はこれから顕在化する

中小企業における情報セキュリティの問題は今後顕在化していくだろうと個人的には予想しています。「サプライチェーン攻撃」が徐々に増えてきていることや、中小企業における情報セキュリティ対策が進んでいないことがその理由です。
　

・中小企業はサプライチェーン攻撃の入口になりやすい

「サプライチェーン攻撃」とは、サプライチェーン内の弱い部分から入り込み、ターゲット企業から目的の情報を盗み出す攻撃です。

わかりやすくラーメン屋でたとえると、店の看板メニューのレシピを入手するために、ラーメン屋そのものではなく、製麺所などの取引先（よりセキュリティが甘いと考えられる所）のシステムや組織に入り込んで、サイバー攻撃のための仕掛けを準備したり必要な情報収集を行うようなことです。

高度化した攻撃では、数年にわたって従業員として潜伏して情報収集や攻撃準備を行うケースもあります。中小企業は、大企業の下請けをしていたり、製品の提供を行っていることも多いですが、そのために攻撃の入口として狙われる可能性があることを理解しておく必要があります。

もしも自社を起点とした攻撃が発覚した場合、取引先との信頼関係への影響は避けられません。

中小企業ではIT担当者がいないために、外注の技術者が基幹システムのメンテナンスやトラブルに対応していることもありますが、こうした業者の中にも攻撃者が紛れ込んでいることもあります。海外ではすでにサプライチェーン攻撃により大きな被害も起こっています。
　

・古いシステムなどがそのまま残る

また、進んでいない情報セキュリティ対策は、中小企業にとって大きなリスクです。先にも触れたように、昨今のセキュリティシステムは非常に強固ですが、それは「新しい」ことが前提の話です。

中小企業ではシステムの入れ替えなどが進まず、なおリスクの高いシステムが残り続けていることが少なくありません。Windowsのサービスが切れるとわかっていてもまだXPや7といった古いOSを使い続けている企業も多いですが、「業務上支障を感じない」としても「大きなリスクが残り続ける」のです。

同じネットワークに接続していれば、相手のOSが何かを調べるのは簡単ですので、早めの対策が必要です。
　

・自社は狙われないという認識は危険

「自社が狙われることはないだろう」と思っていても、どこで何が契機となるかは誰にもわかりません。企業の研究開発職が転職の際にUSBメモリに多くの研究データを持ち出して退職したことでライバル企業に出し抜かれることもあります。

また、企業内で不当な扱いを受けたと感じた従業員が企業内の機密情報を持ち出したり、内部で対策中だったコンプライアンス違反を外部機関に告発してして企業に大きな損害を与え、経営が傾いてしまったこともありました。

厳しい経営環境下にある中小企業では、従業員の退職やモラルハザードなど、人から生じるトラブルにはより注意を払う必要があります。社内での教育やルール作りをしっかり行うことが、トラブルを防ぐための抑止力として有効です。
　

まとめ

今回は情報セキュリティの10大脅威を題材に、情報セキュリティのトレンドについて紹介しました。特に中小企業では、システムの刷新を急ぐと共に、従業員の教育やルール作りといった対策をしっかり行うことが大切です。

サイバー攻撃はローリスク・ハイリターンに向かっていきますので、中小企業は今後、格好のターゲットになる可能性があると考えておきましょう。