情報セキュリティ10大脅威2022を社内SEの目線で解説(組織編)その1
情報セキュリティ10大脅威とは毎年、(独)情報処理推進機構(略称:IPA)が公開している”その年の注意すべきセキュリティ脅威”を評価したものです。
評価は前年(2021年)に発生したセキュリティインシデントや世の中の出来事を参考に、10大脅威選考委員会が選定します。
この情報セキュリティ10大脅威の2022年版がIPAより公開されました。
https://www.ipa.go.jp/security/vuln/10threats2022.html
2022年1月27日現在、公開されている情報は1位~10位までのランキングだけですが、例年ではランクインした脅威の解説が後日公開されます。
今回はこの10大脅威について10位~4位を社内SE目線で解説していきたいと思います。
10大脅威2022の全体像
2022年のランキング結果は下表のようになりました。
| 順位 | 内容 | 昨年順位 |
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 5位 | 内部不正による情報漏えい | 6位 |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
| 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | 不注意による情報漏えい等の被害 | 9位 |
今回の特徴として、ランクインしている脅威のほぼすべてが前年もランクインしていた脅威であることです。
この10大脅威は、世の中の流れが激しいと新規ランクインが3つも4つも発生することがありますが今回は1つだけです。
これは前年に比べてめまぐるしい変化はないものの、引き続き警戒と対策が必要とされるものと解釈できます。
また、上位4つは前年と同じく4位以内にランクインしており、これらの脅威の深刻さも伺えるところです。
社内SEとしては”新しい脅威動向を探ることも重要ですが、既存の脅威に対抗できるかどうかの確認をより重点的に実施”することが重要ではないでしょうか。
各脅威の解説と対策
ここからはそれぞれの脅威について簡単な解説と社内SEとして目指すべき方向性を私なりの解釈で考えていきます。
10位:不注意による情報漏えい等の被害
企業や組織の情報漏えいは昔から変わらず脅威として存在し続けています。
改正個人情報保護法により、個人データ漏えいまたはその懸念がある場合は個人情報保護委員会への届け出が義務化されるなど、企業の責任は重くなる一方です。
よくある不注意として下記のようなものがあります。
- メールの宛先を間違えた
- 会社のPCやデバイスを置き忘れた、紛失した
- 匿名化せずにWEBサイトへ資料をアップロードしてしまった
特徴としてはシステムの誤作動や不具合で引き起こされるのではなく、人間のミスによって引き起こされることです。
情報システムに比べて人間はミスをしやすいシステムですので、人間が関わる以上はなかなか防ぐのが難しい脅威です。
誤送信や誤掲載の対策は”普段はアラートが出ないけれどリスクがあるときにアラートが出る仕組み”の導入がお勧めです。
というのも、これら不注意によるミスの発生は作業に慣れてしまっていることが要因の1つです。
そのため、誤送信や誤掲載のリスクが高いような行動をとった時に何らかのアラートを発信することで、人間は一瞬冷静になり、その後に疑問を沸かせることができます。
逆に言うと、常にアラートが出るような仕組みはお勧めできません。そのうちアラートが出ることに慣れてアラートを閉じることが定型業務になり効果を発揮しなくなります。
また、対策としてダブルチェック体制を敷くことがありますが、人間がチェックする以上は慣れが来てしまうので私はあまりお勧めしていません(特に定型業務には)。
ダブルチェック体制を敷くとしても変化をつけるためにチェックする担当者は定期的に交代したり、チェック方法を複数準備して日によって変えてみるなどお勧めします。
9位:予期せぬIT基盤の障害に伴う業務停止
”予期せぬ”と書いてある時点で被害発生そのものを防止することは難しいという前提があります。
この脅威は自然災害や設定ミス、パッチ適用による不具合の誘発などなど予期しない原因によるシステム障害が発生し業務が停止することです。
予期できないので手の打ちようが無いように感じてしまいますが、障害発生は予期できなくとも”障害が発生したらどうなるか”はある程度予期できます。
この考え方を出発点にすると下記のような点について検討することができます。
- IT基盤が停止した場合に復旧するまでどれぐらい時間がかかるか
- 停止している間の損失はどれぐらいか(特に金銭的損失)
- 復旧するのに人手と費用はどれぐらい必要か
などなどです。
これらの検討は一般的に事業継続計画(BCP)と呼ばれるものですが、特に停止した場合の損失を費用化できることは重要です。
ここで影響を数値化できれば、リストアシミュレーションや実際にリストアする訓練などの重点対策を実施すべきIT基盤の対象が見えてきます。
なお、この脅威の対策としてシステムを2重化するとか動作検証環境を準備するとか、障害発生を予防する施策を実施する場合があるかもしれませんが、この脅威はあくまで”予期できない”ものなので対策としては有効ではありません。
障害が発生した時にどれぐらいで復旧できる見込みで、どれぐらい損失が発生するかを見積もって、どれぐらいの費用をかけて復旧時間を短縮するかというアプローチをとりましょう。
8位:ビジネスメール詐欺による金銭被害
ビジネスメール詐欺とは正規の企業や団体になりすました攻撃者が、偽の請求書や入金依頼をメールで行い攻撃者の用意した偽の口座へ振り込ませる手口です。
一方的に詐欺メールを送り付ける簡易な手口もあれば、メールの取引に割り込んで支払い側と請求側の双方になりすましを行う高度な手口もあります。
また、請求者などの社外関係者になりすましてメールを送ってくる場合や、社内の強い権限を持つ人物(主に経理部門上級職や取締役などの経営者)になりすましてメールを送ってくる場合があります。
1件当たりの入金額が高額な取引があり、その手続きでメールを利用している場合は特に注意が必要です。
特徴としてフィッシングメールのように不正なサイトへのURLやマルウェア付き添付ファイルなどは無いため、通常の迷惑メールフィルタやアンチウィルスソフトでは検知がほぼできません。
ある一定の条件を満たしたらビジネスメール詐欺の警告を表示する、というようなメールセキュリティソフトはありますが、この詐欺手法の標的はサーバーやデータベースではなく従業員です。
何よりもまずは従業員にビジネスメール詐欺がどういうものか認知してもらうことが重要です。
幸い、ビジネスメール詐欺による金銭被害はお金の振込業務を担当している経理部門が偽の口座に気付ければよいため、組織内教育の対象者は絞ることができます。
また、そもそも業務フロー上、メールを使って請求書の送受信や入金業務を行っていないという業務形態であれば被害発生のリスクはほぼないでしょう。
7位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ゼロデイ攻撃は悪用されるとかなりやっかいではありますが、他の脅威と比較すると被害にあう可能性や攻撃の頻度としては珍しい部類です。
そもそも修正プログラムが公開される前に攻撃を成功させることがいつでも可能というわけではありません。
このように攻撃側にとっては難易度高めの攻撃手段ではありますが、それと同じように防御側も講じる対策はややハードル高めです。
まず社内で利用しているハードウェアやソフトウェアをしっかり棚卸して把握したうえで日常の情報収集が必要です。
修正プログラムが公開される前でも、一時的に被害を軽減する設定(回避策)などの情報が公開されることがあります。
その場合は修正プログラムの適用をするまでにタイムラグを回避策の実施で埋めることができます。
アンチウィルスソフト以外のセキュリティ機器による防御も有効です。
WEBサーバーを公開して利用している場合はWeb Application Firewall(WAF)を利用したり、クライアントPCにはEDRやインターネットの出入り口にUTMなども有効です。
しかしながらどれも安くない費用がかかったり、導入のハードルが高いと感じてしまうのが正直な気持ちです。
そういう場合は基本に立ち返って、PCやサーバーで使っていないポートが解放されていないか、使わなくて済むサービスが起動するようになっていないか、といった対策の見直しと強化をすることも有効です。
6位:脆弱性対策情報の公開に伴う悪用増加
脆弱性とは悪用可能なシステムやソフトウェアの不備のことをいいます。
毎月のように大量のWindows Updateが行われるのは、日々新たな脆弱性が見つかってはその修正を行うためでもあります。
脆弱性が見つかるのはWindowsなどのOSに限った話ではなく、アプリケーションやミドルウェアでも見つかることは多く、場合によってはプロセッサや組み込み装置といったハードウェアに近い部分で見つかることもあります。
これらの脆弱性情報は脆弱性を悪用されることによる被害発生を防止するために、対策方法を公開することがあります。
が、対策方法を公開することは同時に脆弱性の詳細を周知することという側面もあり、むやみやたらと公開すればよいというものでもありません。
脆弱性対策情報を公開したはいいものの、その製品を使っているユーザー企業側が対策に乗り出す前に攻撃者に悪用され被害が発生することがあります。
直近の事例ではApacheログライブラリの脆弱性(Log4shell)が見つかり情報公開された直後に、この脆弱性を悪用する通信が急増したということもあります。
この対策については日々の脆弱性情報収集が重要です。
どこから情報を得ればいいか分からない、という場合は脆弱性情報の公開や注意喚起を行っているJPCERT/CCのホームページからRSSやメーリングリストを受信するのがお勧めです。
また、脆弱性の深刻さをスコアリングしているCVSSという指標についても知っておくとよいでしょう。
そして日々公開される脆弱性情報が組織内のIT環境に影響があるかどうかを判断して、看過できない影響ありとなればパッチの適用や回避策の設定を行います。
5位:内部不正による情報漏えい
通常、セキュリティ対策というと外部からの攻撃に目が行きがち(実際、10大脅威のうち8つは外部要因に起因するもの)ですが、内部不正による情報漏えいも忘れてはいけません。
最近の事例では廃棄PCの回収・処理を行っていた企業の従業員がHDDを不正に持ち出し、ネットに転売していたということがありました。
そのとき転売したHDDはもともとPCを利用していた企業の情報が入っており、情報漏えいにつながっています。
他にも有名な通信事業者の元従業員が不正に持ち出した技術情報を転職先の同業者へ流出させたというものもあり、規模の大小があるにせよ内部不正による情報漏えいリスクはどの組織にも存在します。
人間が行う内部不正である以上はシステム的な対策は難しそうですが、この行動を起こす人間は一定の共通パターンがあるため、その行動をいかに発見するかを考えます。
これは一例ですが、情報を持ち出そうとする人は一度に大量のデータを外部媒体やクラウドにコピーすることが多いそうです。そのようなPCの操作があるとアラートを発信することが可能です。
最近の高度な検出方法としてAIによる行動分析(UBAやUEBAと言ったりします)を行い、内部不正を見つけ出す製品も存在します(Microsoft365の上位バージョンは有名です)。
内部不正対策のためにセキュリティ製品を導入することが難しい場合でも従業員教育やファイルアクセス権の見直しといった施策でも効果があります。
また、なぜ人間が不正行為を起こすのかに着目した不正のトライアングルという考え方がありますが、この考え方を参考にすると教育の内容や方法のヒントを得やすいです。
不正のトライアングルについてはこちらの過去記事も参考にしてください。
4位:テレワーク等のニューノーマルな働き方を狙った攻撃
新型コロナウィルスの感染拡大により、ニューノーマルな働き方が急速に普及しました。
サイバー攻撃者もこのチャンスを見逃さず、ニューノーマルな働き方を狙った特有の攻撃をしてくるようになりました。
今後もニューノーマルな働き方が続くことを考慮してか、10大脅威でも第4位ランクインとなりました。
この脅威は、何か具体的に特定の攻撃手法を指しているわけではありませんが、2020年8月に公開された三菱重工の不正アクセス被害事例が参考になります。
https://www.mhi.com/jp/notice/notice_200807.html
これは在宅勤務をしていた社員が社内ネットワークを経由せずに外部ネットワークへ接続し、本来社内のセキュリティ機器で検知される想定だったウィルスが検知されずPCに感染したというものです。
さらに社員が出社した時に社内ネットワークへ接続し、感染PCからネットワーク経由で他のPCに感染拡大してしまったというものです。
これは従来の会社に出社してPCを使うという働き方では防げた可能性が高い被害ですが、働き方の変化が被害発生の一要因と言わざるを得ないでしょう。
対策として”在宅時の通信はVPNを使って全て会社を経由させる”というものがありますが、私はあまりお勧めしていません。
特に在宅勤務PCの台数が多い場合は、会社のインターネット環境の強化は必須ですしVPN機器の増設も必要です。
これだけ頑張って投資したとしても、在宅ユーザー1人当たりに割り当てられる帯域は限られます(せいぜい数Mbps~数十Mbps程度のものでしょう)。
また、インターネットとの通信が全て会社経由になるので遅延も増大し、リアルタイム性が求められるWEB会議のような通信には大ダメージです。
さらに、VPN機器の設置によって後述のランサムウェアの侵入に悪用されやすくもなります(私はランサムウェア被害拡大の隠れた要因にニューノーマルな働き方があると考えています)。
ならどうするかというと、私はクライアントPCそのもののセキュリティを強化することをお勧めしています。
アンチウィルスソフトはもちろんのこと、EDR機能を追加してもよいでしょう。クライアントPCで動作するメールフィルタリングやURLフィルタリングも有効です。
CASBやSASEといったクラウドベースのセキュリティソフトウェアを導入してもよいでしょう。在宅勤務者は会社にいるよりも潤沢なインターネット通信帯域を持っていることが多いので、バシバシインターネットを活用してセキュリティを強化しましょう。
10~4位のまとめ
記事を作成していて感じたことは、順位が上がれば上がるほど対策が難しく、かつ影響が大きいものになっていました。
1位~3位を別記事にまとめていますが、こちらの記事を作成していると4位~10位は脅威としてかわいいものだなと思います。
もちろん、だからといって対策をおろそかにしてよいものではありません。
各脅威の影響が自社にどれぐらいあるのかを評価して、どのような対策が適切なのかを是非、検討してください。