情報セキュリティ10大脅威 2020-IPA

IPA(独立行政法人情報処理推進機構)は、情報セキュリティにおける脅威のうち、2019年に社会的影響が大きかったトピックなどを「10大脅威選考会」の投票によりトップ10を選出し、「情報セキュリティ10大脅威2020」として順位を決定し、公表した。

「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。
IPAが脅威候補を選定し、「10大脅威選考会(*1)」が脅威候補に対して審議・投票を行い、決定したものである(*2)

*1:情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーで構成。
*2:予めIPAが32の脅威候補を選定し、「10大脅威選考会」の投票により、個人と組織のランキングとして10大脅威を選出。

個人については、7pay問題もあってか「スマホ決済の不正利用」が初登場1位に。スマホ決済サービスは、各社の相次ぐ新規参入と消費増税に併せた消費者還元事業(ポイント還元事業)が開始され、普及の追い風になった。しかし、7payでは決済方法の不備により、利用者が金銭被害に遭う事案が発生し、逮捕者も出たことは、企業システムをつかさどる情シスとしては「システムのセキュリティ設計」に関して身の引き締まる思いだったのではないだろうか。
その他はクレジットカードやインターネットバンキングの不正利用、フィッシング詐欺が上位に。ダークウェブで個人情報が売買される今の時代、一度漏れてしまった情報を手掛かりにさらなる犯罪につながる可能性があることも忘れてはならないだろう。

では、組織についてはどうだろうか。昨年のTop10に入っていないのは「予期せぬIT基盤の障害に伴う業務停止」であった。


<画像出典:IPA>

AWS東京リージョンで発生した大規模障害やMicrosoft AzureのDNS設定ミスによる障害、Google Cloud Platformの障害による複数サービスダウン、日本電子計算が提供する自治体向けIaaSサービスでのシステム障害など、クラウド大手を含み様々な業種でサービス停止が発生し業務に影響を与えたことは、「クラウドだから安全」ではないことを改めて感じさせたが、すでに後戻りする状況にはない。情シスはこのリスクとどう付き合っていくかを考える必要がある。

また、昨年の2位から5位にジャンプアップしたのは「内部不正による情報漏えい」である。

<画像出典:IPA>

内部不正というと組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の不正行為や組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失したことによる情報漏えいが主であった。しかしながら、神奈川県庁のHDD不正転売事件のようにPC処分業者が横領・転売するケースがあることも忘れてはならない。これは情シスの気が利いていれば最悪の事態は免れた可能性があるからである。
一つは、HDDのデータ暗号化である。仮に盗まれたとしてもデータを複合化することはほぼ不可能であり、情報は守れたのではないだろうか。
しかしながら、仮にアクセス速度の問題等で暗号化が難しいこともあるだろう。仮にRaid5などの構成を行っていれば、状況はまた違ったかもしれない。
このようなリスクを加味して情シスはIT資産のLife Cycle Managementを考えねばならない。

 

【執筆:編集Gp ハラダケンジ】


本レポートは、IPA様の調査レポートを元に作成しております。
ソース:https://www.ipa.go.jp/security/vuln/10threats2020.html

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラスト#02:ゼロトラストモデルが求める7つの要件とは

  2. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  3. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  4. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  5. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  6. いまさら聞けない【情シス知識】SSLとTLSって何?

  7. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  8. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  9. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  10. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る