【2024】IPA「情報セキュリティ10大脅威」とは?特徴や対策を解説
- 「情報セキュリティ10大脅威」はIPA(情報処理推進機構)が公表している個人編・組織編からなる注意すべき情報セキュリティリスクのランキング
- 2024年の「情報セキュリティ10大脅威」では、「人」が起因とする情報セキュリティリスクが上位に浮上している
2024年1月24日に「情報セキュリティ10大脅威」の最新版が発表されました。
情報セキュリティにはサイバー攻撃や不正アクセスなどさまざまなものがありますが、その中でも特に社会に与える影響の大きいものが選出されています。
ITシステムの活用が進む昨今において、組織にとっても情報セキュリティリスクへの対策は欠かせません。「情報セキュリティ10大脅威」の内容を参考に、自社の情報セキュリティ体制を見直しましょう。
そこで、この記事では「情報セキュリティ10大脅威」の内容や2024年の特徴、情報セキュリティリスクへの対策を解説します。
目次
「情報セキュリティ10大脅威」とは
「情報セキュリティ10大脅威」とは、独立行政法人情報処理推進機構(IPA)が毎年発表している、注意喚起が必要な情報セキュリティリスクのことです。
「情報セキュリティ10大脅威」は「個人編」と「組織編」に分けられており、それぞれの対象が「情報セキュリティ10大脅威」において不足しているセキュリティがあれば、対策することを推奨しています。
【2024】個人対象の10大脅威
2024年に発表された、個人が対象となっている10大脅威は以下のとおりです。
2024年から個人編では10大脅威の順位はつけず、五十音順で掲載することに変更されました。これは、「順位の高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念したため」と説明されています。
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
| クレジットカード情報の不正利用 | 2016年 | 9年連続9回目 |
| スマホ決済の不正利用 | 2020年 | 5年連続5回目 |
| 偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
【2024】組織対象の10大脅威
組織が対象となっている10大脅威は以下のとおりです。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
「情報セキュリティ10大脅威」から見る特徴
前年度と比較して、2024年の「情報セキュリティ10大脅威」から見る特徴を解説します。
【個人対象】項目は変わらず
個人編では、いずれの項目も数年間連続で掲載されている脅威が多く、前年度と項目は変わりませんでした。多くが金銭的な被害につながる脅威であるため、十分な対策が必要です。
特に以下の「9年連続9回目」の脅威については、脅威の認知度は高まっているものの対策につながっていない傾向があるといえるでしょう。
- インターネット上のサービスへの不正ログイン
- クレジットカード情報の不正利用
- ネット上の誹謗・中傷・デマ
- 不正アプリによるスマートフォン利用者への被害
個人対象の脅威において、危険なのは「自分は大丈夫」と過信してしまうことです。自分にも脅威が降りかかってくる可能性があることを認識し、最新情報を把握するなどして注意することが大切です。
【組織対象】テレワークによる脅威が順位を下げ、人による脅威が上位に
組織対象では、前年度と項目は変わっていないものの、以下のように順位に変動がありました。
| 順位 | 組織向け脅威 2023 | 組織向け脅威 2024 |
|---|---|---|
| 1 | ランサムウェアによる被害 | ランサムウェアによる被害 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | サプライチェーンの弱点を悪用した攻撃 |
| 3 | 標的型攻撃による機密情報の窃取 | 内部不正による情報漏えい等の被害 |
| 4 | 内部不正による情報漏えい等の被害 | 標的型攻撃による機密情報の窃取 |
| 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 不注意による情報漏えい等の被害 |
| 7 | ビジネスメール詐欺による金銭被害 | 脆弱性対策情報の公開に伴う悪用増加 |
| 8 | 脆弱性対策情報の公開に伴う悪用増加 | ビジネスメール詐欺による金銭被害 |
| 9 | 不注意による情報漏えい等の被害 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 犯罪のビジネス化(アンダーグラウンドサービス) |
着目すべきは、「テレワーク等のニューノーマルな働き方を狙った攻撃」が5位から9位に大幅にランクダウンしたことと、組織内部の「人」による脅威が上位にランクインしていることです。
まず、テレワーク関連の脅威がランクダウンした理由には、以下の2つが考えられます。
- 新型コロナウイルスの流行によりテレワークが増加したものの、5類感染症に指定されて以降、オフィスに再び出社するようになり、テレワーク環境ではなくなってきている
- 新型コロナウイルスの流行以降、テレワーク環境における情報セキュリティ体制が整備されてきている
また、組織内部の「人」が起因となる脅威には、以下の項目が挙げられます。
- 内部不正による情報漏えい等の被害
- 不注意による情報漏えい等の被害
どちらも、前年度と比較してランクアップしており、その対策が急務となっています。
最近では、人材不足に対応するためにアウトソーシングの活用や業務のIT化、クラウドサービスの活用が急速に普及する一方、不正や不注意に対する対策が不十分な企業もあるでしょう。
ITツールの導入や人材調達により新体制を構築する際には、必ずセキュリティ対策もセットで行うことが求められます。
「情報セキュリティ10大脅威」に実施すべき対策例
ここでは、「情報セキュリティ10大脅威」に実施すべき対策例をまとめました。
情報セキュリティに関するソリューションの導入
「不注意による情報漏えい」や「内部不正による情報漏えい」など、「人」の不正や不注意に関する脅威への対策には、情報セキュリティに優れた新たなソリューションを導入することが対策として有効になる場合があります。
例えば、メールの誤送信を防止できるソリューションを導入すれば、不注意による情報漏えいを防げるでしょう。
情報セキュリティに関する仕組みづくり
「内部不正による情報漏えい」や「サプライチェーンの弱点を悪用した攻撃」、「ランサムウェアによる被害」など、自社や関連会社において一律での対策が必要な場合には、情報セキュリティに関する仕組みづくりが有効となるでしょう。
例えば、ストレージのバックアップやアクセス権限設定の見直しにおける時期や担当者などをルール・マニュアル化することなどが挙げられます。
情報セキュリティに関する教育の実施
「標的型攻撃による機密情報の窃取」や「不注意による情報漏えい等の被害」、「ビジネスメール詐欺による金銭被害」、「テレワーク等のニューノーマルな働き方を狙った攻撃」などは、従業員の情報セキュリティリテラシーの向上が対策となる場合があります。
例えば、仕組みづくりにおいてマニュアルやルールを作成しても、従業員の情報セキュリティに対する意識が低いとルールが遵守されない可能性があります。どの対策を行うにしても、従業員の情報セキュリティに関する教育は必要といえるでしょう。
情報セキュリティリスクの対策には「ISO27001」の取得を
情報セキュリティリスクの対策には「ISO27001 」の取得がおすすめです。ここでは、ISO27001の概要やおすすめの理由を解説します。
ISO27001とは
ISO27001とは、情報セキュリティマネジメントシステムに関する国際規格
です。
自社で保有する情報資産を適切に管理し、情報漏えいやサイバー攻撃などさまざまなセキュリティリスクから保護するための仕組みを構築・運用します。
先ほど紹介した対策のうち、ISO27001は「情報セキュリティに関する仕組みづくり」に該当しますが、その他の「教育」や「ソリューション」についても自社の状況を把握する中で検討し、対策することが求められます。そのため、ISO27001の取得が包括的な情報セキュリティ対策につながるでしょう。
ISO27001を取得する必要性やメリット、取得方法については以下の記事をご覧ください。
ISO27001を取得すべき理由
ISO27001を取得すべき理由は、「自社の情報セキュリティ体制を強化できる」ことと「自社の情報セキュリティ体制を対外的にアピールできる」ことの2つを同時に行えるためです。
ISO27001は、国内外における情報セキュリティ体制における基準です。そのため、取得することで、自社の情報セキュリティ体制をアピールできます。
実際にISOプロがIT系中小企業経営者約1,000人に行った調査によると、以下のような回答が得られました。
| 質問 | 回答 |
|---|---|
| ISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか? | 「はい」:84.3% 「いいえ」:15.7% |
| ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか? | 「はい」:65.2% 「いいえ」:34.8% |
この結果からわかるように、ISO27001取得は取引先や顧客から信頼が得られるだけでなく、実際の契約にも良い影響を与える可能性があります。
そのため最近では、IT企業だけでなく金融業や人材派遣業など、情報の取り扱いが多い業種での取得も増えています。
より詳しい調査内容は以下の調査結果をご覧ください。
まとめ
この記事では、「情報セキュリティ10大脅威」の内容や特徴、対策について解説しました。
情報資産を取り扱うことが増えた現代において、自社に大きな影響を与えかねないさまざまなリスクが存在しています。
自社を取り巻く情報セキュリティリスクについて確認したうえで、適切な対策を実施しましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい