2023.04.05
2024.03.12
ランサムウェアなどサイバー攻撃の深刻化や、リモートワークの普及といった働き方の多様化により、組織を取り巻くセキュリティリスクは変化しています。ここでは情報セキュリティにおける最新の動向を知り、適切な対策につなげていただくため、日本セキュリティ監査協会(JASA)の「情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンド」をご紹介します。
1位 大規模社会インフラシステム障害により増大するサイバーリスク
日本の重要インフラとして政府が位置づけている「情報通信」「金融」など14分野の社会システムでは、多くがネットワークを通じてデータをやりとりする“情報システム化”が進んでいます。ネットワークでつながることにより、局所的なシステム障害が広域に展開し、社会生活に甚大な影響を与える可能性も。今後も情報システム化は進み、ますます大きなサイバーリスクにさらされていくことが懸念されています。
2位 ITサプライチェーンの統制強化
近年、企業などにおいて、業務委託先や海外拠点でのマルウェア感染・不正アクセスがサプライチェーン全体に影響を与える事例が多く発生しています。自社だけでなく、サプライチェーンに属するすべての企業を含めた包括的な対策強化の必要性が認識され、組織内でのセキュリティルールの徹底や、システムとして情報漏洩が発生しにくい環境の構築が進むとされています。
3位 サイバーランサムによってあぶりだされる「怠け者システム管理者」や「ダメ経営者」
組織の情報窃取やデータの暗号化を行い脅迫してくる、いわゆる「サイバーランサム」は、高度な攻撃技術を有するわけではなく、必要な対策も特殊なものではないとのこと。主な被害の原因は、機器の設定が適切に行われていなかったことや、セキュリティパッチの適用し忘れなどが多く、システム管理者の怠慢とみなされてもおかしくないのが現状といわれています。また、経営層のセキュリティリスクの軽視が被害につながったケースもあったと考えられており、今後ランサムウェアによって、「当たり前のセキュリティ確保」ができていなかったことがあぶりだされるとしています。
4位 クラウド障害による社会的影響の拡大
クラウド・バイ・デフォルトの考え方の普及に伴い、今や社会的基盤となっているクラウドサービス。そんななか、大規模データセンターやオンライン会議システムなど、世界的に利用されているサービスの障害により、多くの企業・組織の活動に影響が出てしまう事例が散見されています。こうした事態に備え、利用者側も複数のサービスを利用するマルチクラウドを採用したり、障害発生時の対応手順を定めておくなどの対策が必要であることが呼び掛けられています。
5位 要注意!大事故につながるクラウドサービスのユーザ設定不備
クラウドサービスの利用において、利用者側の設定不備による情報流出などの事故が多発したことに伴い、内閣サイバーセキュリティセンター(NISC)や総務省から公的なガイドラインが発表されました。利用者側の組織では、今後ガイドラインに沿ったかたちで適切な対策を講じるなど、新たなマネジメントが必要であることが訴えられています。
6位 働き方改革に追いつかない組織管理
働き方が多様化したことによる主な変化として、組織の管理外の「場所」と「デバイス」から業務を実施できるようになったことがあります。リモートワークに慣れてきた今だからこそ、Wi-Fiルーターをはじめとする情報通信機器に対する最新のアップデート適用や、家電・防犯設備・インテリアなどのIoT機器への対策を行うだけでなく、組織として総合的なセキュリティの監視と対策の仕組みづくりが望まれるとしています。
7位 待ったなし!中小企業のセキュリティ対策
コロナ禍で急速に進展したテレワークと、国を挙げてのデジタル化の推進、横行するサプライチェーン攻撃を背景に、中小企業でも情報セキュリティ対策へのスピーディーな対応が今求められています。人的・財務的資源に限りがあるなかで、いかに柔軟かつ効率的に対策を実現するかが中小企業にとっての大きな課題だとしています。
8位 ディープフェイク等高度化する虚偽情報を使ったネット詐欺に要注意
テクノロジーの進化に伴い、AIを用いて作成された画像・動画によるフェイクニュースが多数拡散されるようになってきています。今後、標的型メール攻撃などにおいても、よりだましやすい画像や動画を参照させて詐欺につなげる手口が出てくる可能性があり、組織内における抑止(心理的対策)と防止(物理的対策)両面の対策が求められています。
9位 経済安全保障上の観点からも重要なサイバー攻撃対策
国際情勢の複雑化や社会経済構造の変化などを受けて、国家・国民の安全確保を推進するための経済施策、経済安全保障推進法が2022年5月に成立しました。半導体などの重要物資のサプライチェーン確保、基幹インフラ設備の事前審査、先端技術開発、特許の非公開の4本柱を中心に政策が推進されます。4本柱のいずれにおいてもサイバー攻撃対策の視点が問われ、それぞれの分野での対策が急務であるとしています。
10位 オープンソースソフトウェアの脆弱性懸念に対するSBOM普及の期待
JavaアプリケーションのAPIである「Log4j」の脆弱性が露呈したことにより、多くのソフトウェアがオープンソースソフトウェアを利用している実態と、その脆弱性が発見された際の危険性が、世界的に強く認識されました。米国政府機関では、ベンダーが提供するソフトウェアの構成状況を明らかにする取り組み(SBOM:Software Bill Of Materials)が進み、日本でも今後同様の動きが求められることが想定されています。
いかがだったでしょうか。巧妙化するサイバー攻撃などの外部からの脅威はもちろん、組織のDX推進やクラウド活用により表れたリスクなど、情報セキュリティにおいて考慮すべき点が変化してきていることがわかります。経営者および情報システム担当者においては、組織を守るためにもこれらのトレンドを参考に各種対策を見直してみてはいかがでしょうか。
Sky株式会社では、脆弱性やマルウェア・不正アクセスなどのリスク対策をサポートするクライアント運用管理ソフトウェア「SKYSEA Client View」を提供しています。ぜひ一度ご検討ください。
クライアント運用管理ソフトウェア SKYSEA Client View
https://www.skyseaclientview.net/
(2023年4月掲載)