最近の情報セキュリティ事情について～前編～

１．はじめに

中小企業の経営者や、情報セキュリティ対策に不安をお持ちの方々へ

働き方改革や生産性向上のため、または新型コロナウイルス感染症対策としてテレワーク業務を始めたなど、業務の中で新たなＩＴツールを活用しているも多いかと思います。

ＩＴの利活用が進む一方で、「情報セキュリティの脅威」も高まっていることをご存じですか？

最近の情報セキュリティ事情と、具体的な情報セキュリティ対策の進め方について、２回のコラムに分けてご紹介します。

まずは、「最近の情報セキュリティ事情について:前編」です。

２．最近の情報セキュリティ事情　「情報セキュリティ10大脅威」

「情報セキュリティの脅威」とは、何でしょうか？

情報漏えいや業務停止などを引き起こす要因を、「情報セキュリティの脅威」といいます。例えば、「サイバー攻撃」や「システム障害」などがあります。
情報セキュリティの脅威は、年々変化しています。特にサイバー攻撃の攻撃手法は、高度化・巧妙化が進んでいます。

サイバー攻撃の被害を受けるのは、大企業だけではありません。独立行政法人 情報処理推進機構（以下、IPA）の「情報セキュリティ白書2021」によると、サイバー攻撃を受ける可能性がコロナ禍以前より高まったと認識している企業は、中小企業でも３割以上になります（図表1参照）。

図表 1．新型コロナウイルスの拡大以前と比べたサイバー攻撃を受ける可能性

情報セキュリティの被害を防いでいくためには、適切な対策が必要になります。
そのために、まずは情報セキュリティの脅威について理解を深めることから始めましょう。

IPAが毎年発表している「情報セキュリティ10大脅威」が参考になります。
最近の情報セキュリティの脅威が順位付けされており、“様々な脅威と対策を網羅的に把握でき”、”セキュリティ対策の普及の一助”、となります（図表2参照）。

図表 2．「情報セキュリティ10大脅威」の冒頭文より

本書「情報セキュリティ 10 大脅威 2021」は、情報セキュリティ専門家を中心に構成する「10 大脅威選考会」の協力により、2020 年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けして解説した資料である。「個人」と「組織」という異なる立場で、それぞれの脅威を順位付けし、立場毎に10 大脅威を決定した。
各脅威が自分自身や自組織にどう影響するか確認しながら本書を読み進めることで、様々な脅威と対策を網羅的に把握できる。
本書が、読者自身のセキュリティ対策への取り組みと、各組織の研修やセキュリティ教育等に活用されることによるセキュリティ対策の普及の一助となることを期待する。

出典：IPA「情報セキュリティ10大脅威2021」
https://www.ipa.go.jp/files/000088835.pdf

近年では、どのような情報セキュリティの脅威があるのでしょうか？
「組織における情報セキュリティ10大脅威」の順位は、過去3年間で次のように推移しています。

図表 3．「組織における情報セキュリティ10大脅威」の3年間の推移

それでは、上位にランクインしている脅威について、具体的な内容を確認していきましょう。

テレワークの脅威
2021年版で注目すべき点は、第3位に初登場した「テレワーク等のニューノーマルな働き方を狙った攻撃」です。
テレワーク利用が急速に増えた最近の社会情勢に応じて、サイバー攻撃も変化したわけです。
コロナ禍の影響や緊急事態宣言などにより、テレワークを実施している方々もいらっしゃると思います。その際に、情報セキュリティに不安を感じるケースも多いのではないでしょうか。情報セキュリティ対策が不十分なままでテレワークが行われる実態を狙い撃ちして、新たな脅威に進化したといえます。

図表 4．「テレワーク等のニューノーマルな働き方を狙った攻撃」

2020年は新型コロナウイルス感染症 （COVID-19）の世界的な蔓延に伴い、政府機関から感染症対策の一環として日本の組織に対してニューノーマルな働き方の一つであるテレワークが推奨された。組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、それらを狙った攻撃が行われている。

サプライチェーンの脅威
第4位「サプライチェーンの弱点を悪用した攻撃」にも着目する必要があります。
2019年に初登場してから、3年連続で4位にランクインしています。

・取引先など異なる組織間にまたがり、機密情報や重要情報をやり取りするような業務はありませんか？
・その業務は、テレワークなど十分に管理の行き届かない形で行われていませんか？

攻撃者は、まず情報セキュリティ対策が十分でない組織を標的として攻撃します。そこを足掛かりとして、サプライチェーンで連携している別の組織・取引先などを攻撃する手法です。
この結果、自組織のみならずビジネスパートナーやサプライチェーンなど取引先や外部委託先まで被害に巻き込んでしまう、または巻き込まれてしまうことになります。
より一層の注意と対策が必要といえるでしょう。

図表 5．「サプライチェーンの弱点を悪用した攻撃」

原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な取引先等を標的とする手口がある。取引先が攻撃されると取引先が保有する企業の機密情報が漏えいしたり、取引先を足掛かりとされ、本来の標的である企業が攻撃を受けたりする被害が発生する。

その他上位の脅威
その他上位には、「ランサムウェアによる被害」「標的型攻撃による機密情報の搾取」「ビジネスメール詐欺による金銭被害」といった、経済的利益などを目的とするサイバー犯罪による被害が継続的にランクインしています。（図表6参照）

図表 6．上位にランクインされている脅威について

このように、ＩＴの進化や社会情勢の変化により、情報セキュリティの脅威も変化していきます。その変化に応じて、情報セキュリティ対策も柔軟に対応していく必要があります。
各項目の詳細内容については、「情報セキュリティ10大脅威」の文書内に詳しく記載されています。当文書をダウンロードしてお読みになると、理解が深まると思います。

３．情報セキュリティ対策は「桶の理論」

情報セキュリティ対策では、何をすればいいのか・どこまでやればいいのか、なかなか判りにくいですよね。「情報という目に見えないものを守る」というのが、その判りにくさの原因かもしれません。

皆さんは、「桶の理論」をご存じでしょうか？

桶は、一部分でも緩い個所があるとそこから水漏れしてしまいます。情報セキュリティ対策も同様です。一部でも弱い部分があると、そこから情報漏えいなどの事故につながることがあります。この弱い部分のことを「ぜい弱性」といいます。サイバー攻撃などの脅威がぜい弱性を突くと、情報セキュリティの被害が発生します。
「最も弱いところが全体のセキュリティレベルになる」と言われています。つまり、情報セキュリティ対策では、ある一部のみを強化すればよいわけではなく、脅威に応じて全体的にレベルを強化していく考え方が必要です。

図表 7．桶の理論のイメージ

バランスのとり方
総務省から公開されている「テレワークセキュリティガイドライン」には、次の記載があります。

“情報資産を守るためには、「ルール」・「人」・「技術」のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることが重要です。”

情報セキュリティ対策では、とかくツールの導入など「技術」対策には注力しますが、「ルール」の整備や「人」の教育などは案外おろそかになりがちです。これら３点について、バランスよく対策していく必要があります。

優先度の調整
各脅威に対する具体的な情報セキュリティ対策の優先度は、組織の置かれた環境に応じて変わります。各脅威が組み合わさったサイバー攻撃を受けることもあります。そのため、組織の置かれた環境に応じて、対策の優先度を調整していく必要があります。

図表 8．「情報セキュリティ10大脅威2021」記載の留意事項より

“上位の脅威だけ、または上位の脅威から優先して対策を行えばよいということではない。”
“順位が高いか低いかに関わらず、自身または組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取る必要がある。”
“ランク外の脅威だから対策を行わなくて良いということではなく、継続しての対策が必要となる。”

出典：IPA「情報セキュリティ10大脅威2021」をもとに抜粋

４．「後編：具体的な情報セキュリティ対策の進め方」へ

「情報セキュリティの脅威は変化していく」ことを踏まえて「組織の置かれた環境に応じた優先度に応じて、バランスのとれた情報セキュリティ対策を実施していく」ことの必要性について、ご説明してきました。
とはいうものの、実際には、何から手を付けていけばいいのか、具体的にはどのように対策を進めていけばいいのか、悩みは尽きないですね。

そこで次回コラムでは、「後編：具体的な情報セキュリティ対策の進め方」についてご紹介します。

竹原広機
中小企業診断士、情報処理安全確保支援士（登録番号 000525）、ITストラテジスト、PMP