2022.04.11

ビジネス

IPAが「情報セキュリティ10大脅威 2022」発表!ランサムウェアの被害が組織部門の1位に

2022年1月27日、IPAから「情報セキュリティ10大脅威 2022」が発表されました。法人・組織部門ではランサムウェアによる被害が1位となっています。はたして、そのほか上位10位にランクインした脅威とはどのようなものがあるのでしょうか。

本記事では、「情報セキュリティ10大脅威 2022」の概要や今年の順位の傾向を踏まえた上で、企業が取り組むべきセキュリティ対策についてご紹介していきます。

「情報セキュリティ10大脅威」とは

「情報セキュリティ10大脅威」とは、情報セキュリティ分野の専門家や企業の実務担当者など約150名のメンバーから構成された「10 大脅威選考会」が、前年に発生した脅威候補に対して、審議・投票することで上位10位までを順位付けし、解説した資料のことです。
IPA(情報処理推進機構、以下IPA)から、情報セキュリティ対策の普及を目的に2006年から毎年発表されているものとなりますが、2022年1月27日に「情報セキュリティ10大脅威 2022」が発表されました。

「情報セキュリティ10大脅威」の資料を活用することで、日々増え続けているサイバー攻撃の手法を理解でき、その脅威に対策することも可能となります。特に企業の情報システム担当者の方であれば、毎年必ずおさえておきたい内容だと言えるでしょう。

「情報セキュリティ10大脅威 2022」組織部門のTOP10

それではさっそく、IPAが発表している「情報セキュリティ10大脅威 2022」の詳細についてみていきましょう。組織部門にて上位10位にランクインしているセキュリティ脅威は以下のとおりです。

≪情報セキュリティ10大脅威 2022≫

順位 組織部門の脅威
1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 サプライチェーンの弱点を悪用した攻撃
4位 テレワーク等のニューノーマルな働き方を狙った攻撃
5位 内部不正による情報漏えい
6位 脆弱性対策情報の公開に伴う悪用増加
7位(New) 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位 ビジネスメール詐欺による金銭被害
9位 予期せぬ IT 基盤の障害に伴う業務停止
10位 不注意による情報漏えい等の被害

引用元:「情報セキュリティ10大脅威 2022」公式サイトより

ランサムウェアの被害が1位に

「情報セキュリティ10大脅威 2022」のデータによると、2021年における組織・企業へ影響を及ぼした情報セキュリティ脅威の組織部門では、昨年に引き続き「ランサムウェアによる被害」が1位に選ばれています。とくに2021年には日本国内の企業や病院などがランサムウェアの被害に遭い、大きな話題を呼びました。

ここ数年間のランサムウェア攻撃の特徴として、暗号化などによりファイルを使用できない状態にして、ファイルの復元と引き換えに身代金を要求するといった標的型攻撃と同じような技術が駆使されていることが挙げられます。このようなランサムウェア攻撃の対策には、基本的なセキュリティ対策ソフトの導入や不正アクセス対策、脆弱性対策などの多層的なセキュリティ体制を構築することが必要と言えます。
どの企業でもランサムウェアによる攻撃の被害に遭うリスクは十分考えられるため、しっかり対策を講じることが重要です。

▼ランサムウェアについてはこちらの記事でも詳しく解説しています
ランサムウェアとは?感染経路や事例、種類、最新の対策方法を解説!

ゼロデイ攻撃が新たにランクイン

つづいて「情報セキュリティ10大脅威 2022」では、新たに7位に「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクインしています。ゼロデイ攻撃とは、修正プログラムが提供される前段階の脆弱性を悪用したサイバー攻撃となります。

2021年12月には、Java用のログ出力ライブラリ「Apache Log4j」の脆弱性対策情報が、すでに攻撃が観測されている情報と同じタイミングで公開され、大きな被害を呼んだ事例の一つとして挙げられるでしょう。

ゼロデイ攻撃に遭った場合、修正プログラムが提供された時点から攻撃が開始されるので、企業では脆弱性対策に加えて、外部からエンドポイントなどへの侵入を検知し、防御するようなセキュリティ対策を実施することが重要とIPAは指摘しています。

▼ゼロデイ攻撃についてはこちらの記事でも詳しく解説しています
>>ゼロデイ攻撃とは?意味や特徴、被害事例や最新対策方法までチェック!

企業、組織のセキュリティ体制を見直そう

「情報セキュリティ10大脅威 2022」の順位結果からも分かるとおり、ランサムウェアやゼロデイ攻撃などによるサイバー攻撃が多発しています。
そのため、企業ではいま一度社内のセキュリティ体制を見直し、強固なものにしていくことが必要と言えます。
ここでは、企業や組織が今後も安全に運用していくために必要とされる3つのセキュリティ対策についてご紹介していきます。

エンドポイントセキュリティを取り入れる

強固なセキュリティ体制を構築する方法の一つとして、エンドポイントセキュリティの導入が挙げられます。
従来のセキュリティ手法といえば、ゲートウェイへセキュリティ対策を行うことが主流でしたが、前述したとおりランサムウェアやゼロデイ攻撃といったサイバー攻撃は、巧妙かつ複雑化してきたことにより、それだけでは太刀打ちできない状況となってきています。
そのため、これからのセキュリティ対策では、一般的なウイルス対策ソフトに加え、ネットワークやクラウド上のエンドポイントを守るセキュリティシステムが組み込まれた「エンドポイントセキュリティ」を取り入れることが重要なカギとなります。

エンドポイントセキュリティを導入することで、エンドポイントの対象となる機器や、保存データをサイバー攻撃の脅威からしっかり防御するだけでなく、企業にとっても安心で安全な環境を構築することが可能となるでしょう。

▼エンドポイントセキュリティについてはこちらの記事でも詳しく解説しています
≫エンドポイントセキュリティ、EDRって?重要性やマルウェアへの対策ポイントとは

マルウェア対策の徹底

ランサムウェアをはじめとするマルウェアは、日々進化を遂げ日ごとにその種類は増えつつあります。そのため最新のマルウェアに関する情報を取り入れつつ、それに対する対策を徹底していくことも強固なセキュリティ体制を構築する上で重要なポイントと言えます。

前述したウイルス対策ソフトと同様に、セキュリティ面で安心できるネットワーク環境を構築することや、OSについても定期的にアップデートを実施し、最新の状態を維持することなどもマルウェア対策には有効です。

▼マルウェアの種類や具体的な対処法については、以下の記事をチェック!
≫マルウェアとは?その脅威と対策方法、種類や症状、ウイルスとの違いを解説!

情報セキュリティの3要素と7要素について知る

あらゆる情報のデジタル化が進む現代において、企業の保有する重要な情報資産の状態を安全に保つための扱い方についても、常に意識しておかなければいけません。
企業や組織が情報の取り扱いを行う上で意識すべき考え方として、情報セキュリティの3要素(機密性・完全性・可用性)と7要素(3要素に加え、真正性・信頼性・責任追跡性・否認防止を含むもの)というものがあります。
これは、企業の機密情報などの改ざんや消失、物理的な破損を防ぎつつ、安全に情報を取り扱うために意識すべき要素を定義した大切な事項となります。

企業のセキュリティ体制をより強化していくためには、社内の情報システム担当者はもちろん、それ以外の情報管理に携わる方も、情報セキュリティの3要素と7要素についてしっかり理解しておくことが必要と言えるでしょう。

▼情報セキュリティの3要素と7要素の定義について以下の記事をチェック!
≫情報セキュリティの3要素と7要素って?CIAの意味と基礎を解説

企業、組織のセキュリティ体制にはMDMの導入を

企業のセキュリティ体制を構築していくためには、先ほどご紹介したようなサイバーセキュリティ対策に加えて、社内のPCをはじめとするタブレットやスマートフォンなどの業務用端末を安全に管理できるMDMの導入もぜひ取り入れるべきツールと言えます。

MDM(モバイルデバイス管理)とは、タブレットやスマートフォンなどのモバイルデバイスを一元管理できるツールです。端末のOSアップロードや不正アプリのインストール防止などが可能となるため、サイバー攻撃による脅威から回避することができます。そのほか、端末をロックしたり初期化する機能を利用することで、紛失・盗難時の第三者による不正利用対策やデバイスの機能制限なども行えるため、企業のセキュリティを維持・強化することが可能となります。

当社のMDM「mobiconnect(モビコネクト)」を導入した企業事例や機能一覧については、以下で詳しくご紹介しています。
≫企業でのMDM導入事例や製品カタログはこちら

まとめ

今回は、「情報セキュリティ10大脅威 2022」の概要を踏まえた上で、企業が取り組むべきセキュリティ対策について解説してきました。日々進化するサイバー攻撃により、企業のセキュリティ対策の重要性も高まってきています。社内のセキュリティ体制をいま一度見直し、自社に合った適切な対策を取り入れていくようにしましょう。