「情報セキュリティ白書2022」とは？各章の要点を簡潔に説明

情報セキュリティ白書とは

2022年7月に最新版が刊行された「情報セキュリティ白書2022」は2021年までのサイバー攻撃による実際の被害や対策など、情報を守るための最新情報がまとめられている書籍です。独立行政法人情報処理推進機構 （IPA）によって、2008年から毎年発行されています。

セキュリティに関する業務を行っている人のために作られた白書ですが、個人情報の流出対策など情報セキュリティへの知識を深めたい人も目を通しておくべき一冊です。

 国内における情報セキュリティインシデントは増加

画像引用：情報セキュリティ白書2022

国内における2021年の情報セキュリティに関するインシデントは、前年に比べて43.2％も報道件数が増加しています。
組織におけるランサムウェア被害は、リモートワークの定着により顕著化した被害の1つです。今後の社会でリモートワークがゼロになることはないため、被害を抑えるセキュリティ強化は必須となってきます。個人においても、フィッシング詐欺・メールによる脅迫や金銭要求・スマホ決済の不正利用など脅威はすぐそばにあります。外出を控えるためにネットで買い物をする機会も増えましたが、よく聞く大手ブランドでもフィッシング詐欺の被害は増え続けているのです。

「情報セキュリティ白書2022」第1章では、国内で増加するこのようなインシデントについてさらに詳しく掲示しています。インシデントをより深く知ることこそが、情報を守る盾となってくれることでしょう。

情報セキュリティインシデントの主な種類

ここからは、情報セキュリティ白書で紹介されているインシデントを詳しく解説していきます。

• 標的型攻撃
•  ランサムウェア攻撃
•  ビジネスメール詐欺
•  DDoS攻撃
•  ソフトウェアの脆弱性を悪用した攻撃
•  ばらまき型メールによる攻撃
•  個人をターゲットにした騙し
•  情報漏えいによる被害

2021年度に確認された最新のインシデントごとに、実際の手口とその対策を知ることで情報セキュリティ対策の強化に役立ちます。

標的型攻撃

特定の企業・組織・業界などを標的に行われる、標的型攻撃。企業の持つ機密情報や設備の破壊など、明確な目的を持って行われるのが特徴です。メールからファイルをダウンロードさせウイルスに感染させる標的型攻撃メールや、セキュリティが強固な国内企業の海外拠点などセキュリティ対策の弱い部分を狙う手口が確認されています。

企業・組織として不審メール警告などシステムによる対策や、インシデントの発生を想定した事前準備を行うなど体制の強化が必要です。

標的型攻撃について以下の記事で詳しく解説しています。
≫標的型攻撃とは？基本的な仕組みや手法、被害事例、対策法をチェック！

ランサムウェア攻撃

画像引用：情報セキュリティ白書2022

ファイルを暗号化・画面をロックし使用不可にする、ランサムウェア攻撃。大切なファイルやデータを返してほしければ、ランサム（身代金）を支払うようにユーザーへ促します。

顧客データの窃取やシステムの停止など、企業・組織にとって脅威となるのが侵入型ランサムウェア攻撃です。ばらまきメールや更新されていないOS、不正アプリなどから感染させるのが、広範囲で多数のコンピューターを狙うランサムウェア攻撃になります。

インシデントへの主な対策方法は以下のとおりです。

 2種類どちらの手口にも有効な対策

•  セキュリティソフトの導入
•  攻撃メール対策
•  脆弱性対策

 侵入型ランサムウェア攻撃に有効な対策

• 企業・組織のネットワークへの侵入対策
•  ネットワーク内の侵害範囲拡大への対策
•  バックアップからの復旧
•  データの窃取と公開への対策
•  インシデント対応

広く多数のコンピューターを狙うランサムウェア攻撃に有効な対策

•  不正アプリ対策（提供元が信頼できないアプリはインストールしない）

ランサムウェアの詳細は、以下の記事をチェック
≫ ランサムウェアとは？感染経路や事例、種類、最新の対策方法を解説！

ビジネスメール詐欺

画像引用：情報セキュリティ白書2022

騙しのメールを企業に送り従業員から資金を詐取するなど金銭被害をもたらす、ビジネスメール詐欺。近年のビジネスメール詐欺の手口は、「新型コロナウイルスによる影響のため、通常の取引手続きではない方法で支払ってほしい」などと、時代に合わせて口実を変えているようです。

メールサーバーの見直し・不正アクセスなどへの対策はもちろんのこと、ビジネスメール詐欺への認識を深め金銭に関わる業務のチェック体制を整えることなどがインシデントへの対策になります。

以下の記事では、不正メールによる情報の窃取と他のウイルスの媒介を目的とするマルウェア「Emotet（エモテット）」について詳しく解説しています。
≫Emotet（エモテット）とは？攻撃手法や対策について解説

DDoS攻撃

複数の送信元から同時にWebサーバーなどに攻撃をしかけ、サービス運用を妨害するDDoS攻撃。2021年上半期には全世界で過去最多となる540万回と被害が増加しています。この攻撃にはボットネットと呼ばれる攻撃用ネットワークが使用され、攻撃者がボットネットに司令を送るだけで大量の負荷をかけるデータが一斉に送られる仕組みになっています。

DDoS攻撃の被害に遭った場合、正常なアクセスとDDoS攻撃によるアクセスを判別することや、攻撃に加担しないための対策が大切です。

ソフトウェアの脆弱性を悪用した攻撃

VPN製品・Microsoft製品・IoT製品などソフトウェアの脆弱性を狙った攻撃も、近年多く報告されています。攻撃手口は当該の脆弱性が公開された後、解消プログラム・アップデートが配布されるまでの短い期間にも報告されており、利用者には迅速な対応が求められます。

インシデントへの対策はソフトウェアの脆弱性情報の収集をすることや、脆弱性が確認された場合その緊急度に応じてどのように対応するかなどを検討しておくことです。

関連記事はこちら
≫ゼロデイ攻撃とは？意味や特徴、被害事例や最新対策方法までチェック！

ばらまき型メールによる攻撃

特定の対象ではなく不特定多数の利用者を狙った、ばらまき型メールによる攻撃。業務に関わっていそうなメールや実在の組織をかたったメールなどをばらまきウイルスに感染させ、最終的には感染した端末の情報窃取やランサムウェアへの感染に繋げる手口です。

あの手この手で利用者の興味を引こうとしてきますが、セキュリティソフトを導入する・不用意にメールや添付ファイル内の指示に従わないなど注意がけることが対策となるでしょう。

 

個人をターゲットにした騙し

画像引用：情報セキュリティ白書2022

個人をターゲットにした騙しは、SMS（Short Message Service）・脅迫メール・Webブラウザの通知を悪用する手口の被害が報告されています。携帯の利用料金に未払いがあるなどのSMSから、新型コロナウイルスのワクチン接種の案内メールまで、手口の内容は真実味を帯びるものへ変化し続けているのが特徴的です。

また情報セキュリティへの関心の高さを逆手に取り、「ウイルスに感染した」などと不安を誘発するメッセージを送ってくるケースも。思い当たらないSMSや不安を煽る通知が来ても、慌てて対応せずにいったん立ち止まり、落ち着いて対応を確認するなどの対策が必要となってきます。

 

情報漏えいによる被害

画像引用：情報セキュリティ白書2022

2021年度の情報漏えいによる被害では、ウイルス感染・不正アクセスによるものが最多となっており、その手口は年々巧妙化しています。

不正アクセスによる個人情報の漏えいは、私達の生活と決して無縁なものではありません。企業として対策を行うことはもちろん、個人情報を預ける側も不審な連絡に危機感を持つなど情報セキュリティへのアンテナを張ることが重要な対策となるでしょう。

「情報セキュリティ白書2022」第1章では、ここまで紹介した8つのインシデントの手口とその対策についてより詳しく紹介されています。資料をチェックしたい方は、以下のリンクからご覧いただけます。
≫「情報セキュリティ白書2022」

中長期のセキュリティ対策を立てている企業は約3割

NRI セキュア社では、日本・米国・オーストラリアの企業を対象に3年程度の中長期のセキュリティ対策計画を立てている割合を調査しています。

画像引用：情報セキュリティ白書2022

日本1616社を対象に調査すると、中長期のセキュリティ対策計画をしている企業は27.4％。一方で米国511社とオーストラリア526社に同じ調査をすると、中長期の計画をしていると答えた企業は60％前後と日本の約2倍となりました。またセキュリティ対策計画を立てる予定はないと答えた企業は日本で9.9％だったのに対し、米国・オーストラリアは約1％に留まる結果となっています。

日本と米国・オーストラリアでは企業の規模が影響している可能性もありますが、日本の中堅・中小企業においても長期的なセキュリティ対策計画を立てることが望ましいと言えるでしょう。「情報セキュリティ白書2022」第2章では、よりくわしく組織・個人におけるセキュリティ対策について紹介されています。

 中小企業向けの情報セキュリティの対策ツール

「情報セキュリティ白書2022」では、中小企業に向けた情報セキュリティの普及啓発活動や対策ツールを紹介しています。

• サイバーセキュリティお助け隊サービス制度
  IPAが認めた民間セキュリティ事業者のサービス。
•  SECURITY ACTION
  IPAが運営する、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度。
•  東商サイバーセキュリティコンソーシアム
  東京商工会議所が中小企業向けにサイバーセキュリティ支援サービスを提供するため設立。

「情報セキュリティ白書2022」第2章内でサービスの具体的な内容をより詳しく解説しているので、チェックしてみてください。

 

 制御システムにおけるインシデントの発生状況

電力・ガス・水道・物流など私達の生活を支えるインフラを管理している、制御システム。外部からサイバー攻撃を行うことは難しいとされていた制御システムですが、近年では制御システムに対するサイバー脅威も高まっています。

米国・ドイツ・日本の製造業のIT及び制御・運用技術の専門家500名を対象とした調査結果では、約6割の人がサイバーセキュリティインシデントを経験したと回答。インシデントの約7割でシステムの停止が発生していて、その中でも約4割の人が4日以上も継続して被害を受けたと答えています。

「情報セキュリティ白書2022」第3章では、制御システム・IoT・クラウドのセキュリティについても詳しく解説。それぞれのインシデントや攻撃の実態・脆弱性・国の対策について、より深く知ることができる内容となっています。

 

 まとめ

「情報セキュリティ2022」は私達の身の回りに存在する脅威に立ち向かう術やヒントを、最新情報と共に教えてくれる一冊です。企業や個人がすぐにできる対策についても各章で詳しく触れているので、情報セキュリティの導入を検討している人にとてもわかりやすい内容になっています。

被害を受けてからの対策でなく、事前にインシデントの傾向を把握し準備することこそが大切なのです。情報セキュリティや最新のインシデントをより詳しく知りたい人は、情報処理推進機構が公開している「情報セキュリティ白書2022」をチェックしてみてください。