menu

パソコン情報漏洩対策のセキュリティコラム

menu

情報セキュリティ10大脅威完全解説!今日から始めるべき対策とは?

情報セキュリティ10大脅威完全解説!今日から始めるべき対策とは?のアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > 未分類 > 情報セキュリティ10大脅威完全解説!今日から始めるべき対策とは?

IPA(独立行政法人情報処理推進機構)は、毎年「情報セキュリティ10大脅威」として、その年に発生した重大なセキュリティインシデントや攻撃手法を体系的に取りまとめています。

この10大脅威は、単なるランキングではなく、国内外で実際に発生した事例をもとに、今まさに企業が直面しているリスクを明らかにした重要な指標です。

特に、企業のIT環境を支える情シス担当者にとっては、こうした最新の脅威動向を的確に把握し、自社の状況に合わせた予防策や対応体制を構築していくことが求められます。

本記事では、IPAが公表した最新の10大脅威をひとつずつ詳しく解説し、情シス担当者が今すぐ実践すべき具体的な対策までを網羅的に紹介します。

目次
  1. 脅威1:ランサムウェアによる被害
    1. ランサムウェアとは何かとその攻撃手法
    2. 情シス担当者が取るべき具体的対策
  2. 脅威2:サプライチェーンの弱点を悪用した攻撃
    1. サプライチェーン攻撃の手法と影響範囲
    2. 情シス担当者が取るべき具体的対策
  3. 脅威3:標的型攻撃による機密情報の窃取
    1. 標的型攻撃の手法と最近の傾向
    2. 情シス担当者が取るべき具体的対策
  4. 脅威4:内部不正による情報漏えい
    1. 内部不正の手口と発生しやすい背景
    2. 情シス担当者が取るべき具体的対策
  5. 脅威5:脆弱性対策情報の公開に伴う悪用
    1. 脆弱性情報が悪用される仕組み
    2. 情シス担当者が取るべき具体的対策
  6. 脅威6:不注意による情報漏えい
    1. 不注意による情報漏えいの典型的事例
    2. 情シス担当者が取るべき具体的対策
  7. 脅威7:ビジネスメール詐欺(BEC)
    1. BECの手口とターゲット
    2. 情シス担当者が取るべき具体的対策
  8. 脅威8:クラウドサービスの利用を狙った攻撃
    1. クラウドサービスを狙う攻撃の実態
    2. 情シス担当者が取るべき具体的対策
  9. 脅威9:IoT機器の脆弱性を悪用した攻撃
    1. IoT機器のリスクと攻撃事例
    2. 情シス担当者が取るべき具体的対策
  10. 脅威10:不適切なアクセス管理
    1. アクセス管理ミスが招く事例と背景
    2. 情シス担当者が取るべき具体的対策
  11. 今日から始めるべき対策:情シス担当者へのアクションプラン
    1. 1. 全社的なセキュリティ意識向上
    2. 2. 基本的なセキュリティ対策の再確認と強化
    3. 3. 外部からの侵入を防ぐ対策の強化
    4. 4. 内部からの情報漏えいを防ぐ対策の強化
    5. 5. インシデント発生時の対応準備
    6. 6. クラウドサービスのセキュリティ設定確認
    7. 7. IoT機器のセキュリティ対策状況の確認
    8. 8. サプライチェーンにおけるセキュリティ対策の意識向上
    9. 9. 最新の脅威情報の収集と共有
    10. 10. 対策の優先順位付けと継続的な改善
  12. まとめ

脅威1:ランサムウェアによる被害

昨今も深刻な影響を及ぼしている「ランサムウェア」に焦点を当て、その手口と対策について解説します。

ランサムウェアとは何かとその攻撃手法

ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、感染した端末のファイルを暗号化し、その復旧と引き換えに身代金を要求する攻撃手法です。

感染経路としては、不審なメールの添付ファイルやリンク、VPNやRDP(リモートデスクトップ)などの脆弱な外部接続、ソフトウェアの脆弱性などが挙げられます。

被害に遭った場合、業務停止やデータ損失、信頼失墜などの重大な影響を受けることになります。

加えて、近年では暗号化だけでなく、情報を抜き取ったうえで公開をちらつかせて二重に脅迫する「二重脅迫型」の手口も増加しています。

情シス担当者が取るべき具体的対策

まず、万が一の被害発生時にも業務を継続できるよう、ネットワークから切り離した状態での定期的なバックアップを実施し、復元手順も含めた運用体制を整備することが重要です。

加えて、VPNやRDPといった外部接続の入り口をはじめ、メールやWeb経由のアクセスなどの侵入経路を定期的に点検し、不必要なポートやアカウントの閉鎖、多要素認証の導入などにより遮断・制御を行う必要があります。

さらに、従業員が怪しいメールやファイルに安易に対応しないよう、実際の被害事例などを用いた継続的な注意喚起とセキュリティ教育を社内全体で進めることが求められます。

脅威2:サプライチェーンの弱点を悪用した攻撃

次に取り上げるのは、取引先や委託先を経由して攻撃が行われる「サプライチェーン攻撃」です。攻撃者は、セキュリティ対策が比較的手薄な関連企業や外部ベンダーを狙い、そこを足がかりとして本来の標的である企業に侵入します。

サプライチェーン攻撃の手法と影響範囲

この攻撃では、開発委託先のシステムにマルウェアを仕込み、ソフトウェアやアップデート経由で本体企業へ侵入するパターンが多く見られます。

近年では、ソフトウェアサプライチェーンの構成が複雑化し、どこかひとつの箇所で脆弱性が発覚すれば、広範な被害につながるリスクが高まっています。

また、サプライチェーン攻撃は一度発生すると、影響範囲が自社にとどまらず、他の取引先や顧客にも拡大するため、企業の信頼失墜や損害賠償問題にも発展しかねません。

情シス担当者が取るべき具体的対策

まず、取引先や委託先を経由した攻撃を未然に防ぐために、システム開発や運用を外部に委託する際には、技術力や実績だけでなく、情報セキュリティ対策の実施状況を明確な基準で評価・確認する仕組みを整える必要があります。

そのうえで、万が一のインシデント発生時に責任の所在や対応範囲が不明確にならないよう、委託契約におけるセキュリティ関連条項の見直しや、責任分担を明文化することが重要です。

さらに、組織間でのセキュリティレベルのギャップを埋めるために、定期的な情報共有や訓練を通じて、委託先や取引先との連携体制を強化し、サプライチェーン全体でのリスク低減を図ることが求められます。

脅威3:標的型攻撃による機密情報の窃取

標的型攻撃は、特定の組織を狙って精密に計画されたサイバー攻撃です。機密情報や知的財産など、価値あるデータの窃取を目的とした攻撃であり、発見や対処が難しいのが特徴です。

標的型攻撃の手法と最近の傾向

代表的な手口としては、スピアフィッシングメール(特定の社員を狙った詐欺メール)や、脆弱性を突いたマルウェア配布などがあります。

これらの攻撃は一般的なウイルス対策ソフトでは検知されにくく、被害が発覚するまでに長期間を要するケースもあります。

最近では、SNS上の情報を利用してターゲットに信頼されやすい内容のメールを送り込むなど、より巧妙で社会的工学的な要素を含む手法が主流となっています。

情シス担当者が取るべき具体的対策

標的型攻撃の侵入や拡散を防ぐためには、メールフィルタやエンドポイント保護、ファイアウォールなど複数の技術を組み合わせた多層的な防御を構築し、攻撃の入口を複数のレイヤーで封じる体制を整えることが重要です。

あわせて、万が一攻撃を受けた場合でも速やかに検知・対応できるよう、ネットワークや端末のログを常時監視し、異常な挙動や不審な通信の兆候を見逃さない仕組みを整備しておく必要があります。

さらに、攻撃者が狙う「人の隙」を突かれないよう、実際のフィッシングメールを模した模擬訓練や、怪しいメールや添付ファイルの見分け方を含む従業員教育を継続的に実施することが効果的です。

脅威4:内部不正による情報漏えい

組織の内側から起こるセキュリティ事件は、発見や防止が難しいだけでなく、企業の信用に大きなダメージを与える恐れがあります。

内部不正の手口と発生しやすい背景

内部不正とは、従業員や元従業員、業務委託者などの内部関係者が、自社の情報資産に対して不正にアクセス・持ち出し・破壊を行う行為です。

特に、退職予定者によるデータ持ち出しや、業務上の不満からくる不正行為が多く見られます。

また、アクセス制御が甘い環境では、管理者権限を悪用した情報のコピーや、持ち出しが容易に行われることもあります。

近年では、クラウドストレージを利用した目立ちにくい情報漏えいも増加傾向にあります。

情シス担当者が取るべき具体的対策

内部不正による情報漏えいを防ぐには、すべての従業員に対して業務上必要な最小限のアクセス権限のみを付与し、異動や退職の際には速やかに権限を見直すことで、不必要な情報へのアクセスを排除することが基本となります。

さらに、不正な操作や異常なアクセスを早期に察知できるよう、重要情報へのアクセスログを常時記録・分析し、行動の透明性を保つ仕組みを整備する必要があります。

加えて、持ち出しルールの明確化や、定期的な内部監査の実施を通じて、組織全体で内部統制を強化し、不正行為が起きにくい環境づくりを推進することが重要です。

脅威5:脆弱性対策情報の公開に伴う悪用

新たな脆弱性が公開されると、その情報をもとに攻撃が行われる「ゼロデイ攻撃」や「パッチ公開直後の攻撃」が発生することがあります。

脆弱性情報が悪用される仕組み

ソフトウェアやOSの脆弱性は、開発元やセキュリティベンダーから脆弱性情報として公表されますが、その情報は善意の利用者だけでなく、攻撃者にも共有されます。

攻撃者は公開された情報をもとに、未対応のシステムを狙って攻撃を開始します。

特に、パッチ適用までに時間がかかる企業にとっては、この「公開~対応までの期間」が大きなリスクとなります。

情シス担当者が取るべき具体的対策

ソフトウェアやOSの脆弱性情報が公開された際に即応できるよう、IPAやJVN(Japan Vulnerability Notes)など信頼できる情報源から最新のセキュリティ情報を定期的に収集・確認する体制を整備することが重要です。

そのうえで、自社システムに影響する脆弱性については、検証と同時にパッチやアップデートの適用を迅速に実施し、対応が遅れることで狙われるリスクを最小限に抑える必要があります。

さらに、Webアプリケーションなど外部に公開されたシステムに対しては、WAF(Web Application Firewall)を活用し、既知および未知の攻撃からの防御を強化することが効果的です。

脅威6:不注意による情報漏えい

情報漏えいの多くは、悪意のある攻撃者によるものと思われがちですが、実際にはヒューマンエラーによる漏えいも数多く報告されています。

不注意による情報漏えいの典型的事例

代表的な例として、メールの誤送信、添付ファイルのミス、不適切なクラウド共有設定、印刷物の置き忘れなどが挙げられます。

特に近年では、テレワーク環境における家庭内での情報管理不備や、共有フォルダの公開設定ミスが原因となるケースも目立っています。

これらのミスは悪意がないため、発生しても報告されにくく、問題が顕在化するのが遅れがちです。

その結果、社外に情報が流出した後で発覚し、重大な影響を及ぼすことがあります。

情シス担当者が取るべき具体的対策

ヒューマンエラーによる情報漏えいを防ぐには、実際の事例や最新の脅威傾向を取り入れた継続的なセキュリティ教育を通じて、従業員の意識と判断力を高めることが第一歩となります。

加えて、誤送信や誤操作といったミスを未然に防ぐために、業務ごとの具体的な操作ルールやフローを明文化し、全社員に浸透させることが重要です。

さらに、操作ミスが発生した場合でも迅速に把握・対応できるよう、重要なファイルやメール送信に関する操作ログを定期的に確認し、異常な動きを検出できる体制を整える必要があります。

脅威7:ビジネスメール詐欺(BEC)

ビジネスメール詐欺(BEC:Business Email Compromise)は、企業の関係者になりすまし、金銭や機密情報をだまし取る手法です。被害額が非常に大きくなる傾向があり、経営層も巻き込まれる深刻な脅威です。

BECの手口とターゲット

攻撃者は、実在の取引先や上司になりすましたメールを送り、送金指示や情報提供を装って従業員を騙してくるため、気付かずに送金してしまうケースが多発しています。

ターゲットは、経理担当者や秘書、営業責任者など、業務上送金や情報処理を行うポジションの従業員が多く、特に上長からの指示を疑わずに実行しやすい心理を突いた手法です。

情シス担当者が取るべき具体的対策

ビジネスメール詐欺による被害を防ぐためには、メールアカウントの不正利用を未然に防止する手段として、多要素認証を全社的に導入し、認証の強化によって乗っ取りリスクを低減させることが重要です。

あわせて、なりすましメールの受信や誤送信を防ぐために、SPF・DKIM・DMARCなどの送信ドメイン認証技術を活用したメールセキュリティ対策を確実に実装する必要があります。

さらに、金銭の振込依頼や機密情報の提出といった重要なメールに対しては、送信元の真偽を慎重に確認する運用を徹底するよう、従業員に対して継続的な注意喚起と教育を行うことが効果的です。

脅威8:クラウドサービスの利用を狙った攻撃

クラウドサービスの普及により、利便性と引き換えに新たなリスクも生じています。

ここでは、クラウド特有の脅威とその対策について解説します。

クラウドサービスを狙う攻撃の実態

クラウド環境では、アクセス管理の設定ミスや不要な公開設定など、人的な設定ミスが原因となる事故が多く発生しています。

また、IDとパスワードが漏えいした場合、インターネット経由でどこからでもアクセスできてしまうため、特に注意が必要です。

攻撃者はこうした脆弱な設定を見つけ出して、機密情報への不正アクセス、サーバーリソースを仮想通貨のマイニングで利用するなどのケースも見られます。

情シス担当者が取るべき具体的対策

クラウドサービス上での情報漏えいや不正アクセスを防ぐためには、ユーザーごとの業務に応じた最小限のアクセス権限を適切に設定・管理し、不要な権限の付与や放置を防止する体制を整えることが基本です。

そのうえで、IDとパスワードの漏えいによるリスクを抑えるために、多要素認証を全ユーザーに対して導入し、外部からの不正ログインを防ぐ強固な認証基盤を構築する必要があります。

また、公開設定や共有設定の誤りといったヒューマンエラーによる情報漏えいを避けるため、クラウドサービスの利用状況を定期的に棚卸しし、設定不備の早期発見と是正を行うことが求められます。

脅威9:IoT機器の脆弱性を悪用した攻撃

業務利用が進むIoT機器(ネットワークカメラ、センサー、プリンタ等)には、意外にも多くのセキュリティリスクが潜んでいます。

ここでは、IoTを狙った攻撃の特徴と対策を見ていきます。

IoT機器のリスクと攻撃事例

IoT機器はセキュリティ設定が不十分なまま運用されるケースが多く、初期パスワードのまま使用されていたり、不要なポートが開いたままになっていたりすることがしばしばです。

こうした機器がボットネットに組み込まれ、大規模なDDoS攻撃の踏み台として悪用された事例もあります。

また、ファームウェアの更新が行われず、脆弱性が放置されることも大きな問題となっています。

情シス担当者が取るべき具体的対策

IoT機器の脆弱性を突いた攻撃を防ぐためには、各機器のファームウェアが常に最新の状態であることを定期的に確認し、ベンダーから提供されるアップデートを迅速に適用する体制を整備することが重要です。

あわせて、初期設定のまま放置されがちな通信ポートについては使用状況を精査し、業務上不要なポートやプロトコルは確実に閉じておくことで、外部からの侵入リスクを低減する必要があります。

さらに、IoT機器が万が一侵害された場合でも被害が広がらないよう、業務システムとはネットワークを分離して構成し、セグメント間の通信制限を設けることが効果的です。

また、デフォルトパスワードの変更を徹底することでリスクを簡単に軽減できるので、機器導入時に必ず設定を変更する運用ルールを定めてください。

脅威10:不適切なアクセス管理

アクセス権限の設定ミスや運用不備は、重大な情報漏えいリスクに直結します。

最後に、不適切なアクセス管理が招くリスクとその対応策を紹介します。

アクセス管理ミスが招く事例と背景

「退職者のアカウントが削除されていなかった」、「業務に不要な権限が付与されていた」など、アクセス管理に起因する問題は後を絶ちません。

特にクラウドやリモートワーク環境においては、アクセス範囲が広がるため、従来以上に厳密な管理が求められます。

また、権限が肥大化したアカウントが悪用されることで、内部不正のリスクが高まる要因にもなります。

情シス担当者が取るべき具体的対策

アクセス管理の不備による情報漏えいや不正操作を防ぐには、システムやデータに対するアクセス権限を業務に必要な最小限に限定する「最小権限の原則」を組織全体で徹底することが基本です。

そのうえで、従業員の異動や役割変更に伴って不要となった権限が放置されないよう、アクセス権限の内容を定期的に棚卸しし、現状に合った適切な設定へ見直す体制を確立する必要があります。

さらに、退職者や長期間利用されていないアカウントが悪用されるリスクを回避するため、利用実態に応じて不要なアカウントを速やかに削除・無効化する運用ルールを明確化しておくことが重要です。

今日から始めるべき対策:情シス担当者へのアクションプラン

ここまで解説してきた10大脅威は、どれも情シス担当者にとって無視できないリスクです。

これらに対応するためには、一度にすべてを実施するのではなく、優先順位をつけて現実的なアクションから始めることが重要です。

この章では、今日から実施可能な具体的対策を10のアクションプランとして整理しました。

1. 全社的なセキュリティ意識向上

ランサムウェアや標的型攻撃、内部不正、不注意による漏えい、ビジネスメール詐欺といった多様な脅威に対処する基盤として、従業員全体のセキュリティ意識を高める取り組みを早急に開始することが重要です。

具体策

  • 最新の脅威事例や対策ポイントをまとめた注意喚起メールの配信
  • 不審なメールやファイルを開かないといった基本行動の再周知
  • eラーニングやショート研修の計画立案と告知

2. 基本的なセキュリティ対策の再確認と強化

多くの情報セキュリティ脅威に共通して有効となる基本的な対策について、現在の運用状況を見直し、不備があれば速やかに改善に着手することが求められます。

具体策

  • ウイルス定義ファイルやOS、ソフトウェアのアップデート状況の確認
  • 推測されやすいパスワードの使用有無チェックと変更の促し
  • 不要な共有フォルダやアクセス権限の棚卸し

3. 外部からの侵入を防ぐ対策の強化

ランサムウェアや標的型攻撃、サプライチェーン攻撃など外部からの侵入を試みる脅威に対抗するため、ネットワークやリモート接続の防御体制を強化する必要があります。

具体策

  • ファイアウォールとWAFの設定確認
  • リモート接続環境(VPNなど)のセキュリティ設定見直し
  • 多要素認証の導入検討

4. 内部からの情報漏えいを防ぐ対策の強化

内部不正や従業員の不注意による情報漏えいを防ぐために、持ち出しルールの徹底や権限管理の強化、アクセス状況の可視化といった対策を総合的に推進することが重要です。

具体策

  • 持ち出しルールの再周知
  • アクセス権限の見直しと最小化
  • アクセスログの収集とモニタリング体制の整備

5. インシデント発生時の対応準備

セキュリティインシデントが発生した際に被害を最小限に抑えるため、平常時から連絡体制や初動手順などの対応準備を整えておくことが不可欠です。

具体策

  • 初動対応の簡易フローチャートの作成
  • 社内外の緊急連絡先リストの整備

6. クラウドサービスのセキュリティ設定確認

クラウドサービスを安全に活用するためには、アクセス制御や共有設定を含むセキュリティ設定が適切に構成されているかを定期的に確認することが重要です。

具体策

  • 多要素認証の有無確認
  • 公開設定・共有設定の見直し

7. IoT機器のセキュリティ対策状況の確認

社内で使用しているネットワークカメラやスマートデバイスなどのIoT機器について、初期設定や更新状況を含めたセキュリティ対策が適切に実施されているかを確認することが重要です。

具体策

  • 初期パスワードの変更確認
  • ファームウェアの更新確認

8. サプライチェーンにおけるセキュリティ対策の意識向上

自社だけでなく委託先や取引先も含めたサプライチェーン全体でセキュリティ対策を講じる必要があることを認識し、まずは関係部署との情報連携を始めることが重要です。

具体策

  • 主要な委託先との連絡と情報共有の場の確保
  • 委託先評価のガイドラインやチェックリストの整備状況確認

9. 最新の脅威情報の収集と共有

セキュリティリスクに迅速に対応するためには、常に最新の脅威情報を継続的に収集し、それを社内で効率よく共有する体制を整えることが重要です。

具体策

  • IPAやJPCERT/CCのサイトを定期的に確認
  • 社内共有の仕組み(メーリングリスト、掲示板など)の運用検討

10. 対策の優先順位付けと継続的な改善

すべての対策を一度に実施するのは現実的ではないため、自社のリスク状況に応じて優先順位をつけ、段階的かつ継続的に取り組む姿勢が重要です。

具体策

  • 影響力観点での優先度の高い脅威への対策から着手
  • 月次や四半期単位での見直しを制度化

まとめ

本記事では、IPAが発表する「情報セキュリティ10大脅威」をもとに、それぞれの脅威の概要と、情シス担当者が取るべき具体的な対策について解説しました。

サイバー攻撃は日々進化しており、対策は一度行えば終わりではなく、継続的な見直しと改善が不可欠です。また、技術的な対策だけでなく、従業員の意識向上や社内外との連携もセキュリティ強化の重要な要素です。

まずは身近なところから取り組みを始め、できることを一歩ずつ進めていくことが、安全な情報システム環境の構築につながります。