情報セキュリティ10大脅威 2021についてみてみる(組織編)

Uncategorized

情報セキュリティ10大脅威の2021年版がIPAのページで公開されています。
いい機会なので、1位から10位までを眺めて、攻撃手口や対策を並べてみます。の組織編。

情報セキュリティ10大脅威 2021とは?

こちらに記載しているのでよろしければ。

2021年10大脅威について眺める

1位から10位までをざっくりと。

1位:ランサムウェアによる被害

ウイルスなどがメールに仕込まれていて感染したり、Webサイトなどからダウンロードさせるように誘導して感染させたりするやつです。
ランサムウェア(ウイルス)の感染によって、情報漏えいを狙ったり、業務停止を引き起こしたりします。

攻撃手口

  • ウイルスに感染させる
    • 開くとウイルスが実行されるファイルをメールに添付して送付
    • Webサイトを改ざんしてランサムウェア(ウイルス)をダウンロードさせる
    • OSなどの脆弱性を悪用したウイルス実行
    • 不正アクセスによるウイルス実行

事例

  • ゲームメーカーの社内システムにおける感染
    • 感染した結果、社内システムのデータを暗号化され、業務停止に。。
    • 参考
  • 自動車メーカーがサイバー攻撃を受けて大規模障害
    • 国内外の工場で業務が停止したり、社内ネットワークにも影響が発生。
    • 参考

対策

  • 予防
    • 受信メールやWebサイトを十分に確認する
    • 添付ファイルやリンクを安易にクリックしない(添付ファイルは基本使わないなどのルール策定)
    • 共有サーバへのアクセス権の最小化(感染した場合の被害最小化)

2位:標的型攻撃による機密情報の窃取

1位とは異なり、明確に標的を定めた攻撃。組織内部に潜入して長期にわたって情報の窃取などを行う。

攻撃手口

  • ウイルスに感染させる
    • メールを利用して不正な添付ファイルを開かせる
    • Webサイトを改ざんしてダウンロードする
      • 標的組織が頻繁に利用するWebサイトを狙う
    • 不正アクセスによるウイルス実行

事例

  • 電気メーカーで不正アクセスを検知した事象
  • 重工メーカーで不審な社内通信を検知した事象
  • IPAへのサイバー攻撃など

対策

  • 予防
    • サイバー攻撃に関する継続的な情報収集と情報共有
    • セキュリティ教育、インシデント訓練
    • アクセス権の最小化
    • 取引先のセキュリティ対策実施状況の確認
  • 早期検知
    • ネットワークの監視、防御
      • WAFなどの導入
    • エンドポイントの監視、防御

3位:テレワーク等のニューノーマルな働き方を狙った攻撃

コロナ禍でテレワークへの移行が急激に増加し、
それに伴ってWeb会議サービスやVPN製品を狙った攻撃が多く発生したとのこと。
具体的には、Web会議ののぞき見やテレワーク用PCのウイルス感染などがあげられます。

攻撃手口

  • テレワーク用各種ソフトウェアの脆弱性を悪用した不正アクセス
  • 管理体制やネットワーク環境整備不足による情報漏えい

事例

  • VPN製品の脆弱性を悪用したVPNパスワード流出
  • リモート環境から外部ネットワークに接続し、SNSを利用したことでウイルス感染

対策

  • 予防
    • 情報リテラシーやモラルの向上(セキュリティ教育の実施、受講)
    • テレワークルールおよび環境の整備
    • セキュリティパッチの適用
  • 早期検知
    • ログの取得と継続的な監視
    • ネットワーク監視、防御

4位:サプライチェーンの弱点を悪用した攻撃

攻撃手口

  • サプライチェーンの中でセキュリティが脆弱な組織を狙う
    • 標的組織の取引先や委託先を攻撃
      • 保有する標的組織の機密情報を窃取
    • ソフトウェア開発元を攻撃
      • ソフトウェアアップデートにウイルスを仕込み、アップデート利用者が感染

対策

  • 予防
    • 情報管理における規則の徹底
    • 信頼できる委託先、取引先組織の選定
    • セキュリティの認証取得、認証取得先との協力(ISMS、ISMAPなど)

5位:ビジネスメール詐欺による金銭被害

攻撃手口

  • 窃取した情報を悪用したメールでの送金依頼
  • 取引先との請求書の偽装
  • なりすまし

対策

  • 予防
    • ガバナンスが機能する業務フローの構築
      • 個人の判断で取引が行われないルールなど
    • メール真正性の確認
      • メールだけでなく、複数手段による事実確認。
      • 送信元のメールドメイン確認。

6位~10位

組織編も順位のみ紹介。。

6位:内部不正による情報漏えい

7位:予期せぬIT基盤の障害に伴う業務停止

8位:インターネット上のサービスへの不正ログイン

9位:不注意による情報漏えい等の被害

10位:脆弱性対策情報の公開に伴う悪用

まとめ

組織編では、情報資産の管理ルールなどを整備する必要があって、一個人でできないことも多く含まれています。
特に自社だけでなく、取引先や委託先のセキュリティが脆弱であることで、
自社の機密情報が漏洩するリスクも高まるため、社内に閉じたセキュリティ管理では不足することもあるわけです。

とはいえ、個人編とあわせてになりますが、各個人の情報リテラシーやモラルがとても重要であることに変わりはありません。
結局のところ、最後は個人が引き金を引く(不用意に添付ファイルを開いたり。。)ので、
最後の個人レベルでの教育を行っていくことが重要だと思いました。
そのうえで、局所的に抑える仕組みや、社内システムなどを監視できるようにしていく、という動きを組織としては実施していく必要があります。

コメント

タイトルとURLをコピーしました