古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

新たな脅威が4つも ここは押さえておきたい! 情報セキュリティの10大脅威 2018年版

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2018/02/19 13:00
新たな脅威が4つも ここは押さえておきたい! 情報セキュリティの10大脅威 2018年版: 画像 © ITmedia エンタープライズ 提供 画像

 情報セキュリティ分野で最近起きている出来事が、ますます高度化・複雑化し、広範囲に影響を与えていると感じている読者の方々も少なくないだろう。それに伴い、話の中身も難しくなってきているという印象が強い。

 そんな折り、情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2018」と題したレポートを発表した。IPAが2011年版から毎年この時期にまとめているレポートで、前年に発生した社会的に影響が大きいと考えられる情報セキュリティにおける事案からIPAが候補を出し、この分野の研究者や企業の実務担当者など100人のメンバーからなる「10大脅威選考会」が審議・投票して選出しているという。

 今回、このレポートを取り上げたのは、難しくなりつつある情報セキュリティの脅威に関する話を、他と比べても総合的かつ分かりやすく説明していると思うからだ。この内容から、情報セキュリティ脅威全体のホットな動きが見て取れる、筆者のお勧めレポートである。

 まずは表をご覧いただきたい。情報セキュリティの10大脅威を「個人」と「組織」に分けて表記している。エンタープライズサイトなので基本的には組織が対象となるが、最近では企業のコンシューマライゼーション化も進んでいるので、個人の10大脅威も表記しておく。

 IPAの説明によると、2018年は組織と個人を合わせた20個の脅威のうち、8割の16個が2017年に引き続きランクインした。これをして、大半の脅威は急に出現したものではなく、また新しい手口でもないことから、その手口を知り、常に対策を怠らないことが重要だとしている。

 一方、2018年のランキングには、これまでの10大脅威に一度もランクインしたことのない新たな脅威が入った。個人では10位の「偽警告」、組織では3位の「ビジネスメール詐欺」、5位の「セキュリティ人材の不足」だ。なお、4位の「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加は、2017年のランク外(2016年は6位)から復活したものである。

●AI同士の攻防? 注目されるセキュリティへのAIの影響

 では、これらの新たにランクインした脅威について少し説明しておこう。

 偽警告は、PCやスマートフォンでWebサイトを閲覧中に、突然「ウイルスに感染している」などの偽警告を表示し、利用者の不安を煽り、偽警告の指示に従わせ、個人情報などを搾取しようという手口である。IPAによると、「特にITに詳しくないPC利用者がだまされやすいのが特徴」という。

 ビジネスメール詐欺は、巧妙に細工したメールのやりとりによって、企業の担当者をだまし、攻撃者の用意した口座へ送金させる詐欺の手口である。詐欺行為の準備としてウイルスなどを悪用し、企業内の従業員の情報が窃取されることもある。これまでは主に海外の組織が被害に遭ってきたが、2016年以降、海外取引をしている国内企業でも被害が確認されている。

 セキュリティ人材の不足は、以前から指摘されており、他の脅威とは観点が異なるものの、組織として取り組むべき課題の1つだ。新たな脅威が今後も発生し続けると予想される中で、それらの脅威に対応するためには、セキュリティの知識、技術を有するセキュリティ人材が欠かせないが、圧倒的に不足しているのが実態だ。セキュリティ人材が手薄な組織では、十分なセキュリティ対策をとることが難しく、脅威の増大に伴い実被害につながることも考えられる。

 もう1つトピックを挙げておくと、2017年に初めてランクインしたIoT(Internet of Things)に関する脅威が、2018年でも個人および組織ともにランクインした。IoTはその利便性のみが注目されがちだが、「Mirai」をはじめとしたウイルスがネットワークカメラなどのIoT機器を狙ったように、既に攻撃対象の1つになっているという認識を持ち、必要な対策を施したうえで安全に利用してほしい、とIPAでは警鐘を鳴らしている。

 最後に、今回のIPAのレポートを受けて、筆者も2つの見方を述べておきたい。

 1つは、AI(人工知能)技術の情報セキュリティへの影響である。今回のIPAの10大脅威ではまだAIの影響が見て取れないが、最近ではますます手口が巧妙化して検知が難しくなったサイバー攻撃から法則性や特徴を見いだして攻撃者を特定し、素早く防御するセキュリティ技術の開発が進んでおり、これにAIを活用する取り組みも行われている。

 だが、AIは攻撃者も活用しており、近い将来はサイバー空間でAI同士の攻防戦が現実となる可能性が高まってきている。2018年はそんな動きを目の当たりにするような出来事が起こりそうだ。

 もう1つは、情報セキュリティ対策は経営課題である、ということだ。今回、IPAの10大脅威に入った「セキュリティ人材の不足」はまさしく経営課題だ。それがひいては、企業にとっての事業継続、さらには最も大事な信頼そのものに直結する問題であることを、経営者は肝に銘じるべきだろう。

 なお、今回紹介した「情報セキュリティ10大脅威2018」のそれぞれの項目の説明については、IPAの発表資料をご覧いただきたい。また、IPAは3月下旬に詳細な解説をWebサイトで公開する予定だ。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon