個人の意識向上が基本対策!IPAが指摘する
2023年の『情報セキュリティ10大脅威』への対策と取り組み

pactera

独立行政法人 情報処理推進機構(以下、IPA)は、前年に発生した情報セキュリティ脅威から、専門家による審議・投票した結果を毎年『情報セキュリティ10大脅威』として発表しています。近年では、スマートフォンの普及や個人/職場でのクラウドサービスの利用が進み、日常生活とデジタル世界との境界がどんどん薄れ、これに伴ってセキュリティの脅威も増加してきています。しかし、情報セキュリティにおける対策は、一見専門家の領域のように思えますが、私たち一人ひとりの意識と行動が対策の鍵を握っています。本記事では、『情報セキュリティ10大脅威』とともに、その対策と取り組みとして個人レベルでの対策がより一層重要となっていることを解説していきます。

 

目次

『情報セキュリティ10大脅威 2023』について

前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
出典:独立行政法人 情報処理推進機構「情報セキュリティ10大脅威とは」https://www.ipa.go.jp/security/10threats/index.html

『情報セキュリティ10大脅威』は、セキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることを目的に、IPAが毎年発表しています。2023年版は、2022年に実際に発生した脅威をもとにしています。

コロナによるテレワークなど社会環境の変化によってトレンド的な脅威が上位に来ることはありますが、ここ数年、個人/組織共に上位にランクインされている脅威に大きな変化はありません。

組織の脅威として挙げられている部分についても、個人のスマートフォンやPCなどのフィッシングによる影響を受けている項目もあり、個人/組織の脅威の境界があいまいになってきています。

 

出典:独立行政法人 情報処理推進機構『情報セキュリティ10大脅威 2023』https://www.ipa.go.jp/security/10threats/10threats2023.html

セキュリティインシデントとは

「セキュリティインシデント」とは、情報システムや情報セキュリティポリシーにおいて予期しないまたは望ましくない出来事や状態を指す言葉です。これは、情報の機密性、完全性、または可用性を損なう可能性があるものであり、結果として組織の業務に影響を及ぼす可能性があります。

具体的な例としては、以下のようなものが考えられます。

  • ウイルスやマルウェアによる感染
  • 不正アクセスや不正利用
  • データ漏洩や情報の流出
  • DoS攻撃

セキュリティインシデントが発生した場合、迅速な対応が求められます。具体的な対応はインシデントの種類や組織のポリシーやルールによって異なりますが、一般的にインシデントが発生した場合は、速やかに「然るべき」連絡先に報告し、指示を仰ぐフローが多いでしょう。一方で、被害にあった場合、「虚偽の」連絡先に連絡するよう仕向けられ、被害が拡大する事例も後を絶ちません。 

まずは出来る対策を

IPAが発表した10大脅威の中には、私たち個人が意識を変えるだけで対策が出来るものがいくつか存在します。ここでは、それらの脅威と具体的な対策を紹介します。

 

  1. フィッシング攻撃
    サイトのURLやメールの送信者を常に確認。不審なリンクはクリックしない
  2. ソフトウェアの未更新
    定期的にソフトウェアやアプリのアップデートを行い、最新のセキュリティパッチを適用する
  3. 脆弱なパスワードの使用
    長く、複雑なパスワードを使用し定期更新をしない。管理者パスワードはサービスごとに異なるパスワードを使用する
  4. 公共のWi-Fiの乱用
    ホテルや公共のWi-Fiを利用しない
  5. 不審なソフトのダウンロード
    信頼のおけるソースからのみソフトウェアやアプリをダウンロード。不審なメールの添付ファイルは開かない
  6. SNSのオーバーシェア
    個人情報や位置情報をSNS上で無闇に共有しない。プライバシー設定を活用し、情報の公開範囲を限定する
  7. 物理的なデバイスの喪失
    モバイルデバイスにパスワードロックを設定。不要な場合はBluetoothや位置情報サービスをオフにする
  8. バックアップの不足
    定期的にデータのバックアップを取り、複数の場所に保管。クラウドサービスを利用する際は、定期的にセキュリティ対策を確認する
  9. デジタル詐欺の対策
    購入や契約前にサービスや商品を十分にリサーチ。信頼できないソース以外のオファーは無視する
  10. IoTデバイスのセキュリティ管理
    IoTデバイスのデフォルトパスワードを変更。定期的にファームウェアのアップデートを行う

 

以上のように、日常のちょっとした意識や行動の変更だけで、多くの情報セキュリティ脅威から自分自身を守ることができます。日々進化するサイバーリスクを真摯に受け止め、自分のデジタルライフを安全に保つための手段を日常に取り入れていきましょう。

まとめ

昨今、組織の情報セキュリティ脅威の中には、個人のスマートフォンから攻撃対象の会社の社員を狙い、情報の搾取や多要素認証を攻略する動きも増えてきています。会社のセキュリティ対策を強固にすることも重要ですが、従業員一人一人の意識の向上と日々のセキュリティに対する意識を高める事が重要です。再度セキュリティ教育やトレーニング、また従業員向けのセキュリティポリシーの見直しなど行い、製品ありきの対策以外も検討される事をお勧めします。

終わりに

この記事についてのお問い合わせはこちら⇒問い合わせフォーム
※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください

採用情報はこちら⇒Pactera Recruit
現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!

<執筆者:原田 将彦、セキュリティコンサルティング事業部 パクテラ・コンサルティング・ジャパン株式会社>