個人の10大脅威

個人の立場における10大脅威のランキングは以下の通りです。

個人の脅威は大きく変わっていない

個人向けのトップ10は、昨年から順位の変動こそあれ内容は変わっていません。パソコンやスマートフォン（スマホ）が普及して日常生活の一部となったことにより、様々なサイバーセキュリティの脅威にさらされています。

様々なサービスを同時並行で利用されている方が多いと思いますが、それら１つ１つにもリスクがあります。サービスの仕組みや契約内容・規約を理解して利用することでリスクを減らすことができますが、全てを調べて理解することは大変です。新しいサービスを利用する前に、１度立ち止まって考えてみることも重要です。

スマホの利用はリスクを伴う

スマホはもはや携帯電話の域を超え、手軽に持ち歩けるパソコンと同義になりました。最近ではSNSやオンライン本人確認などから個人情報が漏えいするリスクや、キャッシュレス決済・モバイル決済の不正利用により金銭的な被害を受けることが多くなっています。

また、最近ではBYOD（個人端末の業務利用）も進んでいるため、スマホから機密情報が流出するなど、個人的なことだけでは済まされないリスクもあります。

ところが街に出てみると、座席の確保にスマホを置きっぱなしにしてみたり、画面ロックをしていない、人前でパスコードを入力する方が多いことに気付きます。このような状況から、スマホを利用すること、スマホを持ち歩くリスクに対してユーザーの理解は進んでいないと感じざるを得ません。

スマホには自分の全ての情報が入っている、スマホの利用にはリスクが伴うことを理解して利用することが重要です。

組織の10大脅威

組織の立場における10大脅威のランキングは以下の通りです。

ランサムウェアの被害がランクアップ

ランサムウェアとは、企業が保有する機密情報のデータを暗号化し、復元と引き換えに金銭を要求するマルウェアです。2020年に被害が増加し、2019年の5位から1位にランクアップしています。さらに2021年が半年以上経過した今、その被害はさらに増加しています。

警察庁のまとめでは、2020年の下半期と比較して、2021年の上半期の被害は3倍に増加しています。さらに、いまだ日本においては１つの犯罪組織も検挙されていません。

海外では、複数の国の法執行機関が連携して被害を減らしたり、アメリカの司法省が「ランサムウェア攻撃の対応の優先度をテロと同等にまで引き上げている」と述べたと報じられるなど、その大きな脅威に対処しています。

日本では、警察庁がサイバー犯罪やサイバーセキュリティー対策に関する直轄組織「サイバー局」を2022年4月をめどに新設し、関東管区警察局に「サイバー直轄隊（仮称）」を置く計画を明らかにしています。しかし、高いレベルの対応が必要なことから、要員の採用や育成、維持については多くの課題が残っています。

テレワークに関する脅威がランクイン

コロナ禍により一気に普及が進んだテレワークですが、その不備を突く攻撃が増加しています。感染症対策として急ピッチで導入されたため、システムに十分なセキュリティ対策が施されていなかったり、運用にあたる人員が確保されていない、従業員のリテラシーが低いケースが多く、ハッカーの格好の餌食にされています。

前述したランサムウェアの被害についても、従来はフィッシングメールや標的型メールに起因するものがほとんどでした。最近はテレワークの接続を悪用して不正アクセスした後、ランサムウェアに感染させる事例が多くなっています。

働き方改革としても重要なテレワークの導入ですが、安易に利用を進めるのではなく、サイバーセキュリティ対策について検討したうえで導入することが重要です。

組織におけるサイバーセキュリティ対策

組織の立場におけるサイバーセキュリティ対策は、「ルール」「人」「技術」の３つの観点から、それぞれの立場における役割を担うことが重要です。

「ルール」

セキュリティの脅威によって事業継続が脅かされる現状では、セキュリティ対策は費用ではなく投資と捉えるべきです。経営者には、経営戦略の１つとしてセキュリティ対策を講じることが求められています。

経営者主導のもと、組織全体の対応方針と管理体制を構築して予算と人的資源を整えます。そして、実行部隊である情報システム部によって方針を具体化してルールを策定します。

サイバーセキュリティ対策におけるルールは、場当たり的にまとめたやって良い・悪いのリストではありません。事業継続のための重要な約束事として認識し、真摯に取り組みましょう。

「人」

「人」とは利用者、つまり業務を担う従業員を指しています。どれだけ立派なルールを策定しても、それを従業員に遵守してもらえなければ意味がありません。ルールの内容と目的を周知徹底すること、セキュリティリテラシーを向上させる教育を定期的に実施しましょう。

「技術」

ルールや人だけでは全てのリスクに対応することはできません。ネットワークセキュリティや不正アクセス対策、マルウェア感染対策など、ハードウェアやソフトウェアを導入して技術的な対策を実施することが重要です。

最近ではDX（デジタルトランフォーメーション）の流れもあり、業務システムの全面的な見直しが進んでいます。このようなシステムリプレースのタイミングは、セキュリティ対策を抜本的に見直すチャンスでもあります。

あらためて「ルール」「人」「技術」について見直し、改善を検討されてはいかがでしょうか。

まとめ

情報セキュリティ 10 大脅威 2021でランク外となった脅威もありますが、ランク外になったとしてもその脅威が無くなったわけではありません。

ワンクリック詐欺、ウェブサイトの改ざん、サービス妨害攻撃、IoT危機の不正利用など、依然として攻撃が行われている脅威を挙げるときりがありません。ランク外だからといって対策を行わなくて良い訳わけではなく、継続して対策していく必要があります。

新しい脅威は次々に登場していますが、それらの攻撃の糸口は古くから共通して利用者の意識の低さと、システムのセキュリティ対策の不備を狙っています。サイバーセキュリティのリスクを低減させるためには、システムや人員に投資して体制を整え、利用者のセキュリティ教育によって意識、リテラシーを高めていくことが大切です。

今回の記事では、情報セキュリティ10大脅威2021についてご紹介しました。皆様の組織における参考となれば幸いです。