情報セキュリティリスクを顕在化させるものが情報セキュリティ脅威です。
個人や企業がセキュリティ事故を起こしてしまうと、信頼が低下や損害賠償などによって業績が悪化したり事業継続できなくなる可能性があります。
情報セキュリティリスクを顕在化させないためには情報セキュリティ対策が必須ですが、まずは情報セキュリティの脅威を理解するところからはじめましょう。
情報セキュリティの脅威とは
情報社会において、情報を正しく管理して安全に利用するための対策を情報セキュリティと呼びます。
また、情報セキュリティの脅威とは、個人や企業の情報資産に対して損失などを与える要因やリスクを発生させる要因のことです。
2021年に発生した社会的に影響が大きかったとされる情報セキュリティ事案から脅威を選出し、ランキング形式で公開された「情報セキュリティ10大脅威 2022」がIPAから公開されています。
IPAが公表している情報セキュリティ10大脅威をもとに、個人の脅威10選と組織の脅威10選について解説していきます。
情報セキュリティ脅威:個人へのセキュリティ10大脅威
個人へのセキュリティ脅威10選はどのようなものがあるのでしょうか。
個人への情報セキュリティ脅威として選ばれた10個を確認していきましょう。
フィッシングによる個人情報等の詐取
フィッシングは、本物に見せかけた偽サイトに誘導し、IDやパスワード、銀行の暗証番号やクレジットカードの番号などの個人情報を入力をさせて詐取する詐欺の手口のひとつです。
Amazonや楽天などのショッピングサイトと偽ったり、不在配達の確認依頼のSMSなどの身近なサービスを謳われることでうっかり被害に遭ってしまう可能性があるので注意が必要です。
ネット上の誹謗・中傷・デマ
痛ましいニュースを目にしたり、法律も対応してはいるものの誹謗中傷やデマによる被害は変わらず存在します。
自分がされる側になるというだけでなく、感情的になってしまったり、反対意見で書いたつもりが誹謗中傷になっていたという無自覚なケースもあるので、投稿内容は慎重に考えて作成しましょう。
メールやSMS等を使った脅迫・詐欺の手口による金銭要求
フィッシングの一部とも言える部分はありますが、メールやSMSなどによる架空請求などの金銭要求の被害も後を絶ちません。
利用してもいない有料サイトの利用料金を請求をされる従来型もありますが、公的機関を装ったり、ハッキングしたように見せかけたりと手口が巧妙化してきているので注意が必要です。
クレジットカード情報の不正利用
オンラインショッピングでクレジット決済すると、クレジット番号と有効期限などを入力するだけでキャッシュレス決済できるのは便利で利用する機会も増えています。
しかし、逆に言えばクレジットカードの情報を盗まれてしまえば誰かに不正利用されてしまう可能性があるということになります。
また、その被害に遭う可能性が利用頻度の増加によって高くなっているとも考えられるでしょう。
スマホ決済の不正利用
スマートフォンによるキャッシュレス決済も普及してきました。
財布から現金やカードを取り出すことなく支払いができるので利便性に優れていますが、不正アクセスによるなりすましによって利用されてしまったり、不正チャージされる被害が増えてきています。
偽警告によるインターネット詐欺
インターネット閲覧中に突然「ウイルスに感染しました」や「Windowsが破損しています」などのメッセージが表示されたことがある方も多いと思います。
画面の指示にしたがってアプリのインストールや情報の入力をしてしまうことでウイルス感染したり、個人情報を悪用されてしまうリスクがあります。
不正アプリによるスマートフォン利用者への被害
不正なアプリをインストールすることによって、情報を抜き取ったりウイルス感染させるなどの被害も増えてきています。
提供元不明のアプリを安直にインストールしないように注意が必要です。
インターネット上のサービスからの個人情報の窃取
Amazonや楽天などのECサイトなどに不正アクセスされて、勝手に買物されたり、登録している個人情報を抜き取ったりする手口も発生しています。
不正アクセス予防には多要素認証が効果的なので是非活用するようにしてください。
また、サービス元のセキュリティが脆弱であったり、脅威によって攻撃がされた結果として、個人情報が流出してしまうというリスクもあります。
インターネットバンキングの不正利用
インターネットバンキングの利用も当たり前のようになってきました。
スマートフォンから送金や残高確認ができて便利な反面、ログイン情報が漏れてしまうと大きな金銭被害に遭うことが想定されます。
また、利用している場合は特にフィッシングやウイルス感染に気を付けて情報漏洩防止に努めることが大切です。
インターネット上のサービスへの不正ログイン
インターネットにはECサイトやSNSの他にもたくさんのサービスが存在します。
それらに不正アクセスされることで、なりすましの被害に遭ったり登録している情報を抜き取られてしまう可能性があります。
これらはパスワードを使いまわしていたり、情報流出によって被害に遭う場合もあるので注意が必要です。
情報セキュリティ脅威:組織へのセキュリティ10大脅威
利用者個人だけでなく、企業などの組織にも情報セキュリティ脅威が存在します。
また、企業などの組織がセキュリティ脅威により被害に遭ってしまうと、個人と比べて被害の規模や影響が大きくなってしまうでしょう。
組織へのセキュリティ10大脅威を確認していきましょう。
ランサムウェアによる被害
ファイルを暗号化して解読できないようにした上で、復旧と引き換えに金銭を要求するウイルスの一種がランサムウェアです。
金銭を支払っても復旧される保証はないため、決して応じずに日頃からバックアップをとって、バックアップファイルから復旧するようにしましょう。
標的型攻撃による機密情報の窃取
特定の企業や団体などを狙い撃ちしたサイバー攻撃を標的型攻撃と言います。
組織は様々な機密情報を保有しているがゆえにターゲットになりやすいので確実なセキュリティ対策が求められます。
サプライチェーンの弱点を悪用した攻撃
製品の原材料や部品の調達から製造、配送、販売までの一連の流れをサプライチェーンと呼びます。
ターゲットを直接狙わずに、サプライチェーン上の他の企業や組織の脆弱性を踏み台にしてターゲットを攻撃する手口です。
テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウイルスの影響や働き方改革で普及したテレワークを狙い、従業員の脆弱なネットワーク環境やVPNへのサイバー攻撃などをターゲットにする手口も増えてきています。
企業内だけではなく、テレワークを考慮したセキュリティ対策が必須です。
内部不正による情報漏洩
セキュリティ事故は外部からの攻撃のみではありません。
不正な情報を持ち出したりする内部不正の事例も数多く発生しています。
従業員への教育や不正検知の仕組みを導入して防ぐことも忘れずに意識しましょう。
脆弱性対策情報の公開に伴う悪用増加
OSやソフトウェアに脆弱性が発見されると、修正パッチと共に内容も公開されることが多いです。
公開された脆弱性の情報を悪用して攻撃する手口もあるため、OSやソフトウェアは常に最新の状態を保つように心がけましょう。
修正プログラムの公開前を狙う攻撃
修正パッチや内容が公開される前の脆弱性を狙った攻撃も存在します。
ゼロディ攻撃と呼ばれる手口ですが、事前に把握することが難しいため、日頃から脆弱性情報の収集を行う対策が必要です。
ビジネスメール詐欺による金銭被害
普段のビジネスメールを装って、取引先や社内の人間になりすましたメールを従業員に送りつける詐欺行為によって金銭的な被害をもたらす事例もあります。
ぱっと見では判断が難しいものも多いので、メールのセキュリティ知識を従業員へ教育する必要があります。
予期せぬIT基盤の障害に伴う業務停止
機械は経年とともに劣化していつかは故障します。
また、自然災害によっても同じことが起きる可能性があります。
突然の故障によって情報システムが利用できなくなり、業務に支障をきたすケースがあります。
可用性の確保やバックアップなど、万が一の事態に備えてのBCP対策は必須の経営戦略になります。
不注意による情報漏洩等の被害
操作ミスや不注意による、いわゆるうっかりミスによるセキュリティ事故も数多く発生しています。
メールの誤送信やデータの紛失など、従業員のリテラシー向上のための教育を定期的に行ってリスク軽減に努めましょう。
セキュリティ脅威に対策が必要な理由
情報セキュリティの脅威へ備えた対策は企業や個人にとって重大な要素のひとつです。
万が一、セキュリティ事故を起こしてしまうと、会社の業務に影響して業績悪化に繋がるリスクがあります。
また、取引先や顧客など、自社だけでは済まない広範囲な影響によって、損害賠償や事業継続不可になってしまう可能性もあります。
リスクを軽減させるために確実にセキュリティ脅威への対策を行うことが情報社会において求められます。
情報セキュリティ脅威を把握して対策を講じよう
情報セキュリティの脅威を100%防ぐことは難しいですが、軽減させるための対策は数多く存在します。
まずは、セキュリティポリシーの策定と従業員への徹底周知によってリテラシーの底上げをして、BCP対策を講じて万が一の場合に事業継続できるような計画を立てておきましょう。
多要素認証を利用することで不正アクセスを防いだり、ログ管理をすることで内部不正を防いだりと、日々の情報システムの運用や管理を徹底することでもリスクを軽減させることができます。
情報セキュリティの脅威について理解し、それぞれの対策をきちんと講じて様々な脅威から会社や個人を守りましょう。