中小企業経営者必見!情報セキュリティ10大脅威2024とは?
今回は、2023年に発生した情報セキュリティにおける社会的に影響が大きかったと考えられる事案から選出された「情報セキュリティ10大脅威2024」について、解説していきたいと思います。
情報セキュリティ10大脅威とは?
「情報セキュリティ10大脅威」とは、IPA(独立行政法人情報処理推進機構)が毎年発表している情報セキュリティに関する重要なトピックスです。
IPAは、情報セキュリティに関する調査や研究、啓発活動などを行っている国の機関です。
情報セキュリティ10大脅威は、IPAが専門家や一般の方からの意見を集めて、その年に発生した事案の中から、個人と組織の立場でそれぞれ10個の脅威を選んでいます。
これらの脅威は、情報セキュリティに関心のある方はもちろん、情報セキュリティにあまり詳しくない方にも、今後の対策や注意点を知るために役立ちます。
2024年の個人分野の脅威
まずは、個人分野の脅威について見ていきましょう。
個人分野は昨年までと大きく変わりました。
昨年までは10大脅威について1位から10位まで順位付けをしていましたが、今回からは順位付けはなくなりました。
これは順位付けをすることにより、下位の方の脅威について対策の優先度が下がってしまう可能性があるためです。
ランキングが下位であったとしても対策が必要なことに変わりはありません。
その意味では順位付けをなくし、「どれも重要な脅威である」ことを伝えることはとても大切だと感じました。
さて、その個人分野での脅威ですが、インターネット上のサービスからの個人情報の窃取や不正ログイン、クレジットカード情報やスマホ決済の不正利用、フィッシングや不正アプリ、ワンクリック請求や偽警告などのインターネット詐欺、ネット上の誹謗・中傷・デマ、メールやSMS等を使った脅迫・詐欺などが挙げられます。
これらの脅威は、種類は変わらないものの、攻撃者は常に新しい手口を考えています。
社会的に注目されているニュースや新しい技術を利用して、被害者を騙すことがあります。
例えば、新型コロナウィルス感染症流行による影響が大きかった時期には、新型コロナウイルスの感染状況やワクチンの予約などに関する情報を装って、個人情報や金銭をだまし取るフィッシングメールや不正アプリが多数発生しました。
また、オリンピックやパラリンピックのチケットやグッズの購入や抽選に関する詐欺も見られました。
これらの脅威に対する対策としては、以下のようなことが挙げられます。
- インターネット上のサービスに登録する際は、パスワードを強度の高いものに設定し、定期的に変更する。
- クレジットカード情報やスマホ決済の利用履歴を確認し、不審な取引がないかチェックする。
- メールやSMS等のリンクや添付ファイルを開く前に、差出人や内容を確認し、怪しいと感じたら開かない。
- 不正アプリやワンクリック請求などの詐欺に引っかからないように、アプリのダウンロードやインストールは信頼できる公式サイトやストアから行う。
- ネット上の誹謗・中傷・デマに巻き込まれないように、情報の出所や信憑性を確認し、自分の意見や感情を冷静に表現する。
- メールやSMS等を使った脅迫・詐欺に対しては、相手に応じたり、個人情報や金銭を渡したりしない。必要に応じて警察や消費者センターなどに相談する。
2024年の組織分野の脅威
次に、組織分野の脅威について見ていきましょう。
組織分野の脅威は、ランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃、内部不正や不注意による情報漏えい、標的型攻撃やゼロデイ攻撃による機密情報の窃取、脆弱性対策情報の公開に伴う悪用増加、ビジネスメール詐欺やテレワーク等のニューノーマルな働き方を狙った攻撃、犯罪のビジネス化(アンダーグラウンドサービス)などです。
これらの脅威も、種類は変わらないものの、攻撃者は常に新しい手法を開発しています。
脆弱性を悪用するサイバー攻撃による影響が続いていると予測できます。
例えば、2023年には、Microsoft Exchange ServerやSolarWinds Orionなどの大規模なサイバー攻撃が発生し、多数の組織が被害を受けました。
また、テレワークやオンライン会議などのニューノーマルな働き方が普及したことに伴い、ネットワークや端末のセキュリティが低下し、攻撃の標的になりやすくなりました。
これらの脅威に対する対策としては、以下のようなことが挙げられます。
- ランサムウェアやサプライチェーン攻撃に備えるために、重要なデータのバックアップや復旧計画の策定を行う。
- 内部不正や不注意による情報漏えいを防ぐために、従業員の教育や監査を実施し、アクセス権限やログの管理を強化する。
- 標的型攻撃やゼロデイ攻撃に対抗するために、脆弱性の検出や対策の適用を迅速に行う。必要に応じて、専門家や外部機関と協力する。
- ビジネスメール詐欺やテレワーク等のニューノーマルな働き方を狙った攻撃に対処するために、メールの内容や送信者を確認し、不審な場合は返信や添付ファイルの開封をしない。テレワークやオンライン会議の際は、ネットワークや端末のセキュリティを確保し、不正なアクセスや盗聴を防ぐ。
- 犯罪のビジネス化(アンダーグラウンドサービス)に対しては、攻撃者の動向や手口を把握し、自分の組織のセキュリティレベルやリスクを評価する。必要に応じて、専門家や外部機関と協力する。
まとめ
以上が、情報セキュリティ10大脅威2024の個人向けと組織向けの脅威と対策の概要です。
これらの脅威は、今後も変化し続けると予想されます。
情報セキュリティに関する知識や意識を高めることは、個人の安全や組織の成長にとって必要不可欠です。
情報セキュリティ10大脅威2024の詳しい解説は、IPAのウェブサイトで公開されています。
ぜひご覧ください。
DXセミナーのお知らせ
当社では業務のDX化に関するセミナーを開催しています。
2月は以下の日程で開催いたします。
ぜひご参加ください。
-
- 2/10(土) 11時~17時 「ゲームで学ぶDX時代の「経営の基礎」セミナー」
- 2/16(金) 14時~16時 「DX時代のビジネスモデル構築セミナー」