カテゴリーを選択

トップ > ITのチカラ [Vol.19] 企業における情報セキュリティ対策のアップデートの重要性 > P1

ITのチカラ Vol.19 企業における情報セキュリティ対策のアップデートの重要性

標的型攻撃やフィッシングなど情報セキュリティに対する脅威が収まることはなく、攻撃手法はますます巧妙化している。こうした状況の中で重要なのは、最新の動向を反映した情報セキュリティ対策のアップデートだ。企業や個人がどのような意識を持ち、どんな観点で対策を行っていくべきなのかを探る。

  • Twitter
  • Facebook
  • ITのチカラ
  • 2021.03.01

[Vol.19]企業における情報セキュリティ対策のアップデートの重要性

標的型攻撃やフィッシングが高度化し、見分けられない詐欺メールが増加

写真:岡嶋裕史 さん 「経営者が自分ごととして捉え、常に情報をアップデートしながら柔軟にルールを変更して、有効な情報セキュリティ対策を」 中央大学 国際情報学部
教授
岡嶋裕史 さん
1972年生まれ。中央大学大学院総合政策研究科博士後期課程修了。博士(総合政策)。研究分野はネットワークセキュリティ、インターネットカルチャー。富士総合研究所、関東学院大学准教授、同情報科学センター所長を経て現職。190冊を超える著書がある。近著は『インターネットというリアル』(ミネルヴァ書房)、『思考からの逃走』(日本経済新聞出版)。

――情報セキュリティの脅威について、近年の変化をどう見ていますか。

独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」では、組織向けでは「標的型攻撃による機密情報の窃取」が5年連続でトップになっており、個人向けに関しても「フィッシングによる個人情報の詐取」が上位に入っています。

標的型攻撃やフィッシングは、手法として陳腐化しているといってもいいものですが、効果があるからこそ攻撃者によって陳腐化するほど使われ続けているともいえます。背景には、自動翻訳などの技術進歩によるメールやWebサイトの内容の洗練があります。最近ではメールの文面に不自然な部分が減り、普通のメールと詐欺メールの見分けがつきにくくなっているのです。対策ツールなどを導入していても、こうした攻撃の最新動向に注意を払うべきでしょう。

組織に関しては「サプライチェーンの弱点を悪用した攻撃」にも注目すべきです。DX(デジタルトランスフォーメーション)が推進される中、大企業の発注先となる中小企業も電子化が進み、電子的サプライチェーンに組み込まれてきています。一方で費用や人材などの問題から、十分な情報セキュリティ対策が行えていないケースも少なくありません。

サプライチェーン全体を一つのシステムと見なせば、対策が不十分な下請けの中小企業は攻撃者にとって狙いやすい弱点になるため、そこを足がかりに大企業への攻撃が行われるという状況にあります。中小企業でも適切な対策が行われるようになれば状況も変化すると考えられますが、現在は過渡期にあるといわざるを得ません。

働き方の変化によって個人と組織が地続きになり、注意すべき脅威も変化

――他に注目している変化としては、どのようなものがありますか。

近年はダイバーシティへの理解や働き方改革、コロナ禍の影響などでテレワークや在宅勤務といった多様な働き方の普及が進み、コミュニケーションの重要性が高まっています。こうした状況では、コミュニケーションが本質的に持つ危険性にも注意を向けるべきでしょう。コミュニケーションが増えるということは、業務を円滑に進める一方で、悪意を持つ人と接触する機会が増えることでもあるからです。

テレワークでのコミュニケーションにITの活用は欠かせません。実際に、パソコンやスマートフォンで使われるアプリケーションやサービスも、チャット、オンライン会議、SNSなど、コミュニケーションを目的としたものが増えています。こうした多種多様なアプリケーションやサービスを介した脅威を改めて意識し、対策を施す必要があります。

そうした脅威の一例が、企業が把握していないデバイスやアプリケーション、サービスを従業員が利用する「シャドーIT」です。資料共有にクラウドストレージを、関係者との連絡に私物のスマートフォンやSNSのメッセージ機能が利用されているかもしれません。そうした状況を会社側が把握して対策しなければ、情報漏えいなどのリスクは増大しますし、インシデントが発生した際の被害拡大や原因究明の遅れにつながります。

コロナ禍でテレワークの導入が進んだことで、自宅のインターネット回線を介して会社のシステムに接続したり、私物のデバイスを仕事に使ったりすることも増えています。以前であれば「仕事」と「プライベート」で分かれていたITも今は地続きになっています。急速なIT環境の変化に合わせ、情報セキュリティ対策もアップデートが必要なのです。

企業だけでなく、従業員一人ひとりも意識の転換が求められます。ITにおける「仕事」と「プライベート」の境目が曖昧になれば、「プライベートだから」と対策を怠ることが情報セキュリティの弱点になり、業務に大きな影響を及ぼすことになりかねません。情報システム部門などに任せきりにするのではなく、自らのリテラシーもアップデートしていくことが求められます。

情報セキュリティに対する脅威とその変化

画像:情報セキュリティに対する脅威とその変化
  • ① 情報セキュリティ10大脅威 順位の変化(組織/個人)

    情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」を発表している。「組織」では標的型攻撃関連が1位を続けているが2位以下は入れ替わりがある。「個人」では2020年にスマホ決済の不正利用という新たな脅威が登場した(※1)
  • ② 標的型攻撃メールと見なされた件数

    標的型攻撃への対策を目的としたJ-CSIP(※2)が標的型攻撃メールと見なした件数は、2016年度の177件が2019年度の401件へ、4年で約2.3倍にまで増加している(※3)
  • ③ 決済代行業者に関する相談件数

    キャッシュレス決済の比率は2008年から2018年で2倍に増えているが、それに伴ってキャッシュレス決済に関する消費生活相談の件数も大きく増加。スマホ決済や電子マネーに関する相談は2019年に過去最多の3491件になった(※4)
  • ④ COVID-19関連の脅威検出件数の推移(全世界)

    新型コロナウイルス感染拡大に伴う恐怖や不安を利用した攻撃も全世界で拡大。2020年1~3月と4~6月を比較すると不正サイトへの誘導数は約14.6倍、マルウェア検出数は約6.9倍、メール脅威検出数は約7.9倍に増加した(※5)

    トレンドマイクロによる調査(2020年8月)
    各数値は以下の数値を集計したもの

    • ・Web脅威:URLに「covid」「covid-19」「covid 19」「ncov」「coronavirus」を含む不正サイト等へのアクセスブロック件数(のべ件数)
    • ・ファイル脅威:ファイル名に「covid」「covid-19」「covid 19」「ncov」「coronavirus」を含むマルウェア等の検出台数
    • ・メール脅威:件名に「covid」「covid-19」「covid 19」「ncov」「coronavirus」を含む不正メール等のブロック件数
  • ※1 情報処理推進機構 /「情報セキュリティ10大脅威 2016~2020」より作成
  • ※2 サイバー情報共有イニシアティブ / Initiative for Cyber Security Information sharing Partnership of Japan
  • ※3 情報処理推進機構 /「情報セキュリティ白書2020」より作成
  • ※4 消費者庁 /「消費者のデジタル化への対応に関する検討会報告書」より作成
  • ※5 トレンドマイクロ /「2020年 上半期セキュリティラウンドアップ」より作成

記載された内容は2020年8月31日現在の情報をもとに作成されたものです。
Copyright ©2020 Trend Micro Incorporated. All rights reserved./TRENDMICROは、トレンドマイクロ株式会社の登録商標です。

キヤノンMJグループのデジタルセキュリティソリューション

長年培ってきたサイバーセキュリティ対策の知見やソリューション営業力・開発力、海外製品の商社機能などを生かした「デジタルセキュリティソリューション」を提案し、お客さまのセキュリティ領域における課題解決を実現し、社会の「安心・安全」に貢献します。

キヤノンMJグループの
「デジタルセキュリティソリューション」

  • 次のページ

    思考停止に陥らずに情報をアップデートして、
    柔軟に対策を変え続ける

C-magazine サイト トップページに戻る

PDFで閲覧する場合は、デジタルアーカイブスへ

このページのトップへ