1/27日に「情報セキュリティ10大脅威 2022」が公表されました。これは、、2021年に社会的影響が大きかったトピックについて、IPA(独立行政法人情報処理推進機構)が公表するものです。
詳細な説明については、例年は2月に公開されますが、今回は特に重要と思われる脅威についてみていきたいと思います。
組織向け
注目すべき点は、1~4位がほぼ変動なく、7位に新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクインしたことです。
2021年はランサムウェアにより、多大な被害が発生しました。コロナ禍で逼迫している病院がランサムウェアの被害にあい、業務が滞ったという例もあります。このランサムウェアですが、標的型攻撃やサプライチェーンの中のセキュリティの弱い所、ゼロデイ攻撃等により拡散していきます。
自社は小さいから狙われることはないだろうと思われている会社もよくありますが、そんなことはありません。企業の大小は一切関係なく狙われます。特に大企業はセキュリティ対策にお金をかけているため、中小企業よりはランサムウェアの被害が少なくなると思われます。
対策としては、従業員のセキュリティ意識を高めることが一番です。セキュリティは、1人でも意識が低くてはならず、全員の意識を高めることが重要です。なぜなら、攻撃者はその意識の低い1人を狙うからです。
また、セキュリティ事案は、自社だけの問題ではありません。企業活動が滞ることによる取引先への影響の他、自社のPCが乗っ取られ、そこを踏み台とされることで、加害者にもなりかねません。
見えない脅威には対策は難しいですが、見えない敵にほど恐ろしいものはありません。コロナと一緒です。気が付いたときには既に時は遅いのです。
日頃より、しっかりと対策を心がけましょう。
個人向け
個人向けのランキングでは、例年同様、クレジットカードやインターネットバンキングの情報等を含む個人情報の漏洩が多くみられます。
最近では手口が巧妙化しており、見分けるのが非常に難しいというのがあります。また、手口を知っていたとしても騙されるときは騙されます。特殊詐欺と一緒です。自分は大丈夫という気持ちがあってはいけません。心理学の観点から考えても「自分は騙されない」と思っている人と「自分は騙される」と思っている人では、「自分は騙されない」と思っている人の方が騙されやすいのです。
セキュリティには、「これをすれば大丈夫」というものはありません。ただ、「することによりリスクが高まる」というものは多く存在します。自ら危険な道に進まないように、積極的に信頼できる情報源から情報を集めましょう。
「自分(自社)は大丈夫」という意識は、危険への第一歩です。