ipa-top10-security-threats-image

IPAの情報セキュリティ10大脅威2024 !全項目のポイントを紹介

by ブログ

マルウェアやサイバー攻撃をはじめとするセキュリティリスクは日々増加しています。そのため、企業が自社の情報資産を適切に保護するには、最新のセキュリティトレンドをキャッチし続けることが重要です。そこで本記事では、IPAが2024年に発表した「情報セキュリティ10大脅威」に基づいて、企業が直面するセキュリティリスクの概況とその対策を解説します。

 

情報セキュリティ10大脅威とは

「情報セキュリティ10大脅威」とは、情報処理推進機構(IPA)が公開している最新のサイバーセキュリティリスクの概況に関する資料です。個人編と組織編に分けて、前年に社会的影響の大きかったサイバーリスクをランキング形式で毎年発表しています。この資料を参照することで、最新のサイバーリスクやセキュリティトレンドについての理解を深められます。

 

IPAが情報セキュリティ10大脅威2024を発表

2024年1月24日、IPAは「情報セキュリティ10大脅威2024」をWebページにて公開しました。2月下旬以降、解説書や資料が順次公開されています。

 

・「情報セキュリティ10大脅威2023年」との違い

2024年版で見られた大きな変化は、個人編でセキュリティリスクをランキング形式で掲載するのをやめたことです。これは、ランキング形式で示すことによって、読み手側が上位の脅威だけに注目し、下位の脅威を軽視することを防ぐためとされています。

組織編の方はランキング形式が継続されていますが、下位の順位に大きな変動がありました。
まず、2023年版で5位だった「テレワーク等のニューノーマルな働き方を狙った攻撃」が9位までランクダウンしています。この脅威は2021年版で3位に初選出されたのが最高位で、その後は企業のテレワーク体制が整備されていくと共に4位→5位→9位と年々順位が下降しています。他方で、「不注意による情報漏えい等の被害」が前年の9位から6位へと急浮上しました。

参照元:IPA「情報セキュリティ10大脅威 2024

 

情報セキュリティ10大脅威全項目のポイント

続いては、2024年版の10大脅威の内容がどのようなものか、その対策も添えつつ簡単に紹介していきます。たとえランキング上は下位でも、自社と関係しそうな脅威に対してはしっかり対策することが重要です。

 

・1位:ランサムウェアによる被害

ランサムウェアとはマルウェアの一種で、感染したシステムやデータを暗号化によって使用不能にし、その復旧と引き換えに身代金を要求するサイバー攻撃です。感染状態によっては、通常の業務遂行すら不可能になるので、企業に大きな悪影響が出ます。

対策としては、定期的なセキュリティパッチの適用によるシステムの脆弱性対策、信頼できるウイルス対策ソフトの導入と更新、重要なデータの定期的なバックアップなどが有効です。

 

・2位:サプライチェーンの弱点を悪用した攻撃

これは通称「サプライチェーン攻撃」と呼ばれる脅威です。この攻撃は、セキュリティが比較的弱い取引先や関連会社を足掛かりにして、大企業など本来のターゲットへの侵入を試みる手法を意味します。

これに備えるには、セキュリティソフトの導入・更新のほか、従業員が不審なメールやリンクを警戒するようにセキュリティ教育を施すことが重要です。また、取引先などのセキュリティ評価も行い、必要に応じて改善を促したり、支援したりすることも求められます。

 

・3位:内部不正による情報漏えい等の被害

この脅威は、従業員を筆頭とした組織関係者による機密情報の持ち出しや、意図的な規則違反に起因した情報漏えいなどが該当します。

このような内部不正を防止するには、第一にセキュリティ教育を通して社内で情報セキュリティポリシーの遵守を徹底することが重要です。システム面では、各従業員のアクセス権を必要最小限に留めたり、操作ログの監視・分析を実施したりすることが役立ちます。

 

・4位:標的型攻撃による機密情報の窃取

標的型攻撃とは、特定のターゲットを狙って巧妙な手法を使って仕掛けられるサイバー攻撃です。主に、取引先や知人などを騙ったなりすましメールを利用して機密情報を盗みます。

この対策としては、第一に、不審なメールを防ぐフィルタリングサービスやウイルス対策ソフトの導入が挙げられます。また、標的型攻撃メールやその他の不審なメールを見分け、適切に対処できるように従業員を教育することも重要です。

 

・5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

ゼロデイ攻撃とは、システムの脆弱性、もしくはその修正プログラムが公開される前に、その隙を狙って行われるサイバー攻撃です。特に脆弱性の存在すら知らない状態でこの攻撃を予防するのは難しく、被害に遭った場合は大きな影響が出る恐れがあります。

この攻撃を防ぐには、まず脆弱性情報をこまめにチェックし、ソフトウェアやOS、セキュリティソフトなどを常に最新の状態に保つのが基本です。その上で、EDRやWAFなど、複数のセキュリティソリューションを組み合わせて防御力を高めるのが効果的です。

 

・6位:不注意による情報漏えい等の被害

これは内部不正とは異なり、従業員が意図せずに情報漏えいをしてしまった事態を指します。デバイスの紛失や置き忘れ、不注意な会話やSNS投稿などが具体例です。

この種の問題に対しては、第一に従業員の情報リテラシーを高める教育が必要になります。また、情報や機器の持ち出し・持ち込みなどを制限する規則を設けることも有効です。

 

・7位:脆弱性対策情報の公開に伴う悪用増加

ベンダーが公開する脆弱性対策情報を悪用し、セキュリティバッチの適用などの対策がされていないシステムやユーザーを攻撃する手法です。

このリスクを防ぐには、システムの脆弱性情報を定期的にチェックし、適正な状態を常に保てる管理体制を整備することが求められます。

 

・8位:ビジネスメール詐欺による金銭被害

取引先や自社の経営者などになりすましてビジネスメールを送信し、金銭を騙し取るサイバー攻撃です。攻撃者は送信元とターゲットとなる受信先の通信を事前に傍受しており、そこで得られた情報を利用して巧妙に本人になりすましていることが多いです。

この対策としては、従業員のセキュリティ教育を強化し、不審なメールやリンクに対する警戒心を高めることが重要です。また、送信元のメールアドレスやメールの内容を慎重に確認し、不審な点があれば先方に直接確認するように指示を徹底しましょう。

 

・9位:テレワーク等のニューノーマルな働き方を狙った攻撃

テレワーク環境におけるVPNの脆弱性や設定ミスなどを悪用した攻撃です。これによって、テレワーク端末のウイルス感染や情報漏えいなどの被害が生じます。

この脅威に対しても、従業員のセキュリティ意識を高める教育が必要です。また、VPNやテレワーク端末などの脆弱性チェックを定期的に行うことも欠かせません。

 

・10位:犯罪のビジネス化(アンダーグラウンドサービス)

昨今、サイバー攻撃も組織的なビジネスに化しており、アンダーグラウンド市場では、個人情報や攻撃ツールの売買などが横行するようになりました。これによって、高度なスキルがない人間でもサイバー攻撃が行いやすくなっています。

この脅威は、具体的な攻撃手法というより、近年のアンダーグラウンド市場の注目すべき動向を指しているため、特定の予防策というべきものはありません。情報リテラシーの向上や複数のセキュリティソリューションの併用、適切なアクセス管理といった基本的な対策を講じるのが重要です。

 

まとめ

「情報セキュリティ10大脅威 」で紹介されている多様なリスクに対応するには、従業員のセキュリティ意識や組織体制の強化と共に、WAFのような最新のセキュリティソリューションの導入を進めることが重要です。

WAFとは、Webアプリケーションを悪意ある攻撃から保護するセキュリティ対策であり、ファイアウォールやIPS(不正侵入防御)では防げないような攻撃も防御できます。ペンタセキュリティ株式会社は、このWAFをクラウドサービス「Cloudbric WAF+」として提供しています。

「Cloudbric WAF+」は、WAFやDDoS攻撃対策、脅威IP遮断など、Webセキュリティに必須の5機能を統合したセキュリティプラットフォームです。Webサイトに対していつ、どのような攻撃があり、遮断したのかといった記録を簡単な操作でチェックできます。セキュリティ強化のために、ぜひ導入をご検討ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

サイバーセキュリティ対策促進助成金申請ガイド

最大1500万円!サイバーセキュリティ対策促進助成金申請ガイド

by ブログ

新型コロナウイルスに対する緊急事態宣言が全国に拡大されるなど、混乱した日々が続いています。新型コロナウイルスの感染拡大を受け、多くの企業が自宅勤務に切り替えテレワークを実施するケースも増え続けています。以前より強力な全社的サイバーセキュリティ対策が求められている一方で、企業のIT資産の保護は手薄な状態になってセキュリティリスクは高まっているのが実態です。但し、小規模事業者を含む中小企業にとっては、セキュリティの必要性を認識しても導入するまでのハードル(時間や費用等のコストの負担)は高いものです。このハードルを越えるには、国や自治体などで提供する助成金制度を利用することも一つの方法です。今回は、2020年東京都から提供するサイバーセキュリティ対策促進助成金について紹介していきたいと思います。

 

サイバーセキュリティ対策促進助成金とは

サイバーセキュリティ対策促進助成金はIPA(独立行政法人 情報処理推進機構)が実施する「SECURITY ACTION」の2つ星を宣言している東京都内の中小事業者を対象に企業で管理する企業機密、個人情報などを保護し、あらゆるサイバー攻撃を防止するためのセキュリティ対策や設備(暗号化製品、アクセス管理など)の導入を支援する制度です。

それでは、サイバーセキュリティ対策促進助成金をもらうための必須条件である「SECURITY ACTION」とはいったい何でしょうか。中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度で、企業の自発的なセキュリティ対策への取り組みにより、信頼を獲得しセキュリティ対策への持続的な取り組み「SECURITY ACTION 自己宣言者サイト」より申請できます。サイバーセキュリティ対策促進助成金の申請対象は段階目の「★★二つ星」を宣言している中小事業者や中小企業団体が対象となるため、先に手続きを行う必要があります。IPAによりますと「2つ星」を宣言するには、「情報セキュリティ5か条」「5分でできる!情報セキュリティ自社診断」で自社のセキュリティ状況を把握したうえで、情報セキュリティ基本方針を定め、申請するとSECURITY ACTIONロゴマークを使用することができます。2つ星の宣言には情報セキュリティ基本方針を策定し、公開している状態になったうえで、IPAへ申請する必要があります。

 

サイバーセキュリティ促進助成金の申請要件

サイバーセキュリティ対策促進助成金を申請すると、中小企業者を対象にサイバーセキュリティ対策を実践するために必要な設備やサービスの導入にかかる経費の一部を支給されます。助成金は最大1500万円、 助成対象経費の1/2以内となります。申請基準や申請手続きについて詳しく見てみましょう。

助成金対象事業者

東京都お内中小企業者、中小企業団体、個人事業主が助成金の対象事業者となり、特定非営利活動法人、財団法人、学校法人、宗教法人、社会福祉法人、医療法人及び政治・刑事団体は対象外になります。

助成金支援対象機器

中小企業のサイバーセキュリティ対策に必要な物品・設備購入費、メール 訓練委託費、クラウドサービス利用料などを対象に経費が支給されます。助成金支援対象機器は以下の項目となります。

(1)統合型アプライアンス(UTM等)
(2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
(3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
(4)アクセス管理製品(シングル・サイン・オン、本人認証等)
(5)システムセキュリティ管理製品(アクセスログ管理等)
(6)暗号化製品(ファイルの暗号化等)
(7)サーバー(最新のOS搭載セキュリティ対策が施されたものに限る)
(8)標的型メール訓練

Webサイトを守るWAF(Webアプリケーション・ファイアウォール)は、助成金の対象になるのか?と問い合わせが多く寄せられます。助成金支援対象機器として上記には言及されてはいませんが、 端的に対象となりますので、新型コロナウイルスでテレワークが多く実施されている中、Webにつながっている企業様のITシステムを保護するためにぜひチェックしてみてください。

当社ではクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。ハードウェアを購入し、ネットワークを設計し、導入スケジュールを立てる等の手間は必要ありません。DNS情報を置き換えて、アクセスの向き先をCloudbricへ変更して頂くだけで、導入し利用できます。Cloudbricは、サイバー攻撃を遮断するWAFサービスに加え、DDos対策とSSL証明書まで同時に利用できる優れもので、日本、韓国、米国にて特許取得済みの論理演算型解析エンジンを搭載しているため、そのセキュリティは、証明されています。最も推奨するポイントは、セキュリティの運用・管理を専門家にお任せできることです。各企業では提供されるユーザインターフェースにアクセスし、セキュリティ運用状況を確認するだけです。

 

申請スケジュール


2020年の第2期サイバーセキュリティ対策促進助成金の申請受付は518日(月)~25日(月)となります。助成金予算の執行状況により新規受付を早期終了する場合があります。また、申請には事前予約が必要なため、早めの申請をお勧めします。

 

あらゆるサイバー攻撃を遮断する「クラウドブリック」

当社はクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。DNS変更だけで簡単に導入できるクラウド型サービスで、どのプランであっても同じレベルで高精度のエンタープライズセキュリティを提供するため、企業規模に関わらず安心してWebサイトを保護することができます。それでは、クラウドブリックが中小企業者に選ばれる理由について説明したいと思います。

  • 特許取得済みのロジックベース検知エンジンを搭載

クラウドブリックは中小企業者のセキュリティレベルを画期的に向上させることができます。日本・韓国・米国にて特許取得済みの独自開発のロジックベース検知エンジン(COCEP)を搭載し、あらゆるサイバー攻撃に対しロジカルに分析・即遮断を行います。シグネチャー基盤のWAFと違いシグネチャーの更新が不要なため、新種・亜種の攻撃に対応できる高精度のセキュリティを提供します。また、Cyber Defense Magazine Infosec Awards 2019の「Hot Company Website Security」に選ばれるなど、数々の海外受賞歴を保有しており、世界で評判のクラウド型WAFです。

  • 企業別に独立したWAFサービス環境を構築

クラウドブリックは他社と共有せず、企業単位で完全に独立したWAFサービス環境を構築、提供します。企業の状況に合わせてカスタマイズされたセキュリティ運用ポリシーを策定することができるため、より安全な環境で、セキュリティ対策を実施することができます。

  • WAFサービス+DDoS対策+SSL証明書を基本提供

クラウドブリックはWAFサービスに加え、DDoS対策及びSSL証明書を提供し、企業の高セキュリティを実現できるよう手助けします。日々巧妙化かつ高度化が進むDDoS攻撃に対し、L3・L4だけでなく、アプリケーション対象(L7)攻撃にまで対応ます。さらに、WebサイトとWebサーバー間で通信データを暗号化するためのSSL証明書サービスを無料で発行でき、常時SSL化によるWebサイトの安全を確保できます。中小企業にとってリーズナブルな価格でより良いサービスを利用できるということになります。

  • Webサイトの状況を一目で確認できるユーザインタフェース提供

クラウドブリックはWebサイトへの攻撃を可視化し、一目でわかるような直観的なダッシュボードを提供します。攻撃数、閲覧数、不正アクセス件数、IPアドレス情報、攻撃回数など、誰が、いつ、どこから、どのような目的で攻撃したかというWebサイトセキュリティ状況をリアルタイムに把握できます。また、月次単位で提供されるレポートを通じて自社のWebサイト情報をより詳しく分析することも可能です。

クラウドブリックの直観的なユーザインターフェースに関する資料はこちらからダウンロードできます。
クラウドブリック・ユーザインターフェース紹介

今回紹介したサイバーセキュリティ対策促進助成金などを利用して、ビジネスを守るWebセキュリティ対策の第一歩を踏み出してみてはいかがでしょうか。セキュリティ対策への悩み、不安を抱えている中小企業の担当者をしっかりとサポートしていきますので、この機会に、ぜひ当社のクラウド型WAF「クラウドブリック」もご検討していただけたらと思います。

サイバーセキュリティ対策促進助成金に関する詳しい情報は中小企業における危機管理対策促進事業「サイバーセキュリティ促進助成金【募集要項】」をご参照ください。

出典:東京都中小記号振興公社「令和2年度サイバーセキュリティ対策促進助成金申請案内」