独立行政法人情報処理推進機構(IPA)は、前年に多く発生した情報セキュリティの事案から、毎年情報セキュリティ10大脅威を発表しています。
こちらは、堅固な情報セキュリティ体制が求められるJAPHICマーク取得企業において、必ず押さえておきたい情報です。
今回は、特に注意したい脅威をいくつかピックアップして紹介します。
ゼロデイ攻撃
ゼロデイ攻撃は、情報セキュリティ10大脅威2024の第5位にランクインしている脅威です。
こちらは、製品の提供者が認知していない脆弱性、もしくは脆弱性を解消する修正プログラムを提供する前に行われる攻撃です。
ゼロデイ攻撃の被害報告は年々増加していて、万が一被害を受けると、企業の信頼が損なわれたり、金銭的損失が発生したりする可能性があります。
また、JAPHICマーク取得企業は、ソフトウェアを最新バージョンに保ったり、EDRやサンドボックス、WAFなどを導入したりすることにより、ゼロデイ攻撃のリスクを下げることができます。
ニューノーマルな働き方を狙った攻撃
ニューノーマルな働き方を狙った攻撃は、情報セキュリティ10大脅威2024で第9位にランクインしている脅威です。
ここでいうニューノーマルな働き方とは、テレワークやハイブリッドワークなどの新しい働き方であり、これらはオフィスとは違って効果的なセキュリティ対策が打てない、端末やソフトウェアのパッチなどが管理できないという特徴を持っています。
そのため、こちらの脆弱性をつかれ、社内ネットワークにウイルス感染を拡大させるなどのリスクがあります。
JAPHICマーク取得企業は、テレワーク環境における端末やソフトウェアを把握した上での管理に加え、従業員の情報リテラシー、モラル教育を行わなければいけません。
アンダーグラウンドサービス
アンダーグラウンドサービスは、情報セキュリティ10大脅威の第10位にランクインしている脅威であり、犯罪のビジネス化とも呼ばれています。
こちらは、サイバー攻撃が金銭的な利益を得るための手段と化し、そのための仕組みが生まれている現状を指す言葉です。
例えば、ダークウェブ上で違法性のある情報が公開されていたり、犯罪に使用するソフトウェアが販売されていたりすることが該当します。
また、アンダーグラウンドサービスは、マルウェアやツールを使ったサイバー攻撃の被害を増加させるため、JAPHICマーク取得企業は、より一層情報セキュリティ対策に力を入れなければいけません。
まとめ
ここまで、JAPHICマーク取得企業が注意したい情報セキュリティの脅威をいくつか見てきましたが、いかがでしたでしょうか?
JAPHICマーク取得企業は、ありとあらゆる脅威に対応することが求められます。
こちらには、今回解説した脅威だけでなく、長年脅威として存在し続けるランサムウェアや標的型攻撃、内部不正なども含まれています。
