• 「情報セキュリティ10大脅威」はIPA(情報処理推進機構)が公表している個人編・組織編からなる注意すべき情報セキュリティリスクのランキング
  • 2024年の「情報セキュリティ10大脅威」では、「人」が起因とする情報セキュリティリスクが上位に浮上している

2024年1月24日に「情報セキュリティ10大脅威」の最新版が発表されました。
情報セキュリティにはサイバー攻撃や不正アクセスなどさまざまなものがありますが、その中でも特に社会に与える影響の大きいものが選出されています。

ITシステムの活用が進む昨今において、組織にとっても情報セキュリティリスクへの対策は欠かせません。「情報セキュリティ10大脅威」の内容を参考に、自社の情報セキュリティ体制を見直しましょう。

そこで、この記事では「情報セキュリティ10大脅威」の内容や2024年の特徴、情報セキュリティリスクへの対策を解説します。

「情報セキュリティ10大脅威」とは

「情報セキュリティ10大脅威」とは、独立行政法人情報処理推進機構(IPA)が毎年発表している、注意喚起が必要な情報セキュリティリスクのことです。

「情報セキュリティ10大脅威」は「個人編」と「組織編」に分けられており、それぞれの対象が「情報セキュリティ10大脅威」において不足しているセキュリティがあれば、対策することを推奨しています。

【2024】個人対象の10大脅威

2024年に発表された、個人が対象となっている10大脅威は以下のとおりです。
2024年から個人編では10大脅威の順位はつけず、五十音順で掲載することに変更されました。これは、「順位の高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念したため」と説明されています。

「個人」向け脅威(五十音順)初選出年10大脅威での取り扱い
(2016年以降)
インターネット上のサービスからの個人情報の窃取2016年5年連続8回目
インターネット上のサービスへの不正ログイン2016年9年連続9回目
クレジットカード情報の不正利用2016年9年連続9回目
スマホ決済の不正利用2020年5年連続5回目
偽警告によるインターネット詐欺2020年5年連続5回目
ネット上の誹謗・中傷・デマ2016年9年連続9回目
フィッシングによる個人情報等の詐取2019年6年連続6回目
不正アプリによるスマートフォン利用者への被害2016年9年連続9回目
メールやSMS等を使った脅迫・詐欺の手口による金銭要求2019年6年連続6回目
ワンクリック請求等の不当請求による金銭被害2016年2年連続4回目
出所:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2024」(外部リンク)

【2024】組織対象の10大脅威

組織が対象となっている10大脅威は以下のとおりです。

順位「組織」向け脅威初選出年10大脅威での取り扱い
(2016年以降)
1ランサムウェアによる被害2016年9年連続9回目
2サプライチェーンの弱点を悪用した攻撃2019年6年連続6回目
3内部不正による情報漏えい等の被害2016年9年連続9回目
4標的型攻撃による機密情報の窃取2016年9年連続9回目
5修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)2022年3年連続3回目
6不注意による情報漏えい等の被害2016年6年連続7回目
7脆弱性対策情報の公開に伴う悪用増加2016年4年連続7回目
8ビジネスメール詐欺による金銭被害2018年7年連続7回目
9テレワーク等のニューノーマルな働き方を狙った攻撃2021年4年連続4回目
10犯罪のビジネス化(アンダーグラウンドサービス)2017年2年連続4回目
出所:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2024」(外部リンク)
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

「情報セキュリティ10大脅威」から見る特徴


前年度と比較して、2024年の「情報セキュリティ10大脅威」から見る特徴を解説します。

【個人対象】項目は変わらず

個人編では、いずれの項目も数年間連続で掲載されている脅威が多く、前年度と項目は変わりませんでした。多くが金銭的な被害につながる脅威であるため、十分な対策が必要です。

特に以下の「9年連続9回目」の脅威については、脅威の認知度は高まっているものの対策につながっていない傾向があるといえるでしょう。

  • インターネット上のサービスへの不正ログイン
  • クレジットカード情報の不正利用
  • ネット上の誹謗・中傷・デマ
  • 不正アプリによるスマートフォン利用者への被害

個人対象の脅威において、危険なのは「自分は大丈夫」と過信してしまうことです。自分にも脅威が降りかかってくる可能性があることを認識し、最新情報を把握するなどして注意することが大切です。

【組織対象】テレワークによる脅威が順位を下げ、人による脅威が上位に

組織対象では、前年度と項目は変わっていないものの、以下のように順位に変動がありました。

順位組織向け脅威 2023組織向け脅威 2024
1ランサムウェアによる被害ランサムウェアによる被害
2サプライチェーンの弱点を悪用した攻撃サプライチェーンの弱点を悪用した攻撃
3標的型攻撃による機密情報の窃取内部不正による情報漏えい等の被害
4内部不正による情報漏えい等の被害標的型攻撃による機密情報の窃取
5テレワーク等のニューノーマルな働き方を狙った攻撃修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)不注意による情報漏えい等の被害
7ビジネスメール詐欺による金銭被害脆弱性対策情報の公開に伴う悪用増加
8脆弱性対策情報の公開に伴う悪用増加ビジネスメール詐欺による金銭被害
9不注意による情報漏えい等の被害テレワーク等のニューノーマルな働き方を狙った攻撃
10犯罪のビジネス化(アンダーグラウンドサービス)犯罪のビジネス化(アンダーグラウンドサービス)

着目すべきは、「テレワーク等のニューノーマルな働き方を狙った攻撃」が5位から9位に大幅にランクダウンしたことと、組織内部の「人」による脅威が上位にランクインしていることです。

まず、テレワーク関連の脅威がランクダウンした理由には、以下の2つが考えられます。

  • 新型コロナウイルスの流行によりテレワークが増加したものの、5類感染症に指定されて以降、オフィスに再び出社するようになり、テレワーク環境ではなくなってきている
  • 新型コロナウイルスの流行以降、テレワーク環境における情報セキュリティ体制が整備されてきている

また、組織内部の「人」が起因となる脅威には、以下の項目が挙げられます。

  • 内部不正による情報漏えい等の被害
  • 不注意による情報漏えい等の被害

どちらも、前年度と比較してランクアップしており、その対策が急務となっています。
最近では、人材不足に対応するためにアウトソーシングの活用や業務のIT化、クラウドサービスの活用が急速に普及する一方、不正や不注意に対する対策が不十分な企業もあるでしょう。
ITツールの導入や人材調達により新体制を構築する際には、必ずセキュリティ対策もセットで行うことが求められます。

「情報セキュリティ10大脅威」に実施すべき対策例

ここでは、「情報セキュリティ10大脅威」に実施すべき対策例をまとめました。

情報セキュリティに関するソリューションの導入

「不注意による情報漏えい」や「内部不正による情報漏えい」など、「人」の不正や不注意に関する脅威への対策には、情報セキュリティに優れた新たなソリューションを導入することが対策として有効になる場合があります。

例えば、メールの誤送信を防止できるソリューションを導入すれば、不注意による情報漏えいを防げるでしょう。

情報セキュリティに関する仕組みづくり

「内部不正による情報漏えい」や「サプライチェーンの弱点を悪用した攻撃」、「ランサムウェアによる被害」など、自社や関連会社において一律での対策が必要な場合には、情報セキュリティに関する仕組みづくりが有効となるでしょう。

例えば、ストレージのバックアップやアクセス権限設定の見直しにおける時期や担当者などをルール・マニュアル化することなどが挙げられます。

情報セキュリティに関する教育の実施

「標的型攻撃による機密情報の窃取」や「不注意による情報漏えい等の被害」、「ビジネスメール詐欺による金銭被害」、「テレワーク等のニューノーマルな働き方を狙った攻撃」などは、従業員の情報セキュリティリテラシーの向上が対策となる場合があります。

例えば、仕組みづくりにおいてマニュアルやルールを作成しても、従業員の情報セキュリティに対する意識が低いとルールが遵守されない可能性があります。どの対策を行うにしても、従業員の情報セキュリティに関する教育は必要といえるでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティリスクの対策には「ISO27001」の取得を

情報セキュリティリスクの対策には「ISO27001」の取得がおすすめです。ここでは、ISO27001の概要やおすすめの理由を解説します。

ISO27001とは

ISO27001とは、情報セキュリティマネジメントシステムに関する国際規格です。
自社で保有する情報資産を適切に管理し、情報漏えいやサイバー攻撃などさまざまなセキュリティリスクから保護するための仕組みを構築・運用します。

先ほど紹介した対策のうち、ISO27001は「情報セキュリティに関する仕組みづくり」に該当しますが、その他の「教育」や「ソリューション」についても自社の状況を把握する中で検討し、対策することが求められます。そのため、ISO27001の取得が包括的な情報セキュリティ対策につながるでしょう。

ISO27001を取得する必要性やメリット、取得方法については以下の記事をご覧ください。

関連記事:【初心者向け】ISO27001とは?取得メリットや手順・費用について解説

ISO27001を取得すべき理由

ISO27001を取得すべき理由は、「自社の情報セキュリティ体制を強化できる」ことと「自社の情報セキュリティ体制を対外的にアピールできる」ことの2つを同時に行えるためです。

ISO27001は、国内外における情報セキュリティ体制における基準です。そのため、取得することで、自社の情報セキュリティ体制をアピールできます。

実際にISOプロがIT系中小企業経営者約1,000人に行った調査によると、以下のような回答が得られました。

質問回答
ISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?「はい」:84.3%
「いいえ」:15.7%
ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?「はい」:65.2%
「いいえ」:34.8%

この結果からわかるように、ISO27001取得は取引先や顧客から信頼が得られるだけでなく、実際の契約にも良い影響を与える可能性があります。
そのため最近では、IT企業だけでなく金融業や人材派遣業など、情報の取り扱いが多い業種での取得も増えています。

より詳しい調査内容は以下の調査結果をご覧ください。

関連記事:「【自社の情報セキュリティ管理】3割が万全でないと思うと回答!理由は『データ管理のルールが定まっていない』『社外に持ち出せる状態』が多数」(外部リンク)

まとめ

この記事では、「情報セキュリティ10大脅威」の内容や特徴、対策について解説しました。

情報資産を取り扱うことが増えた現代において、自社に大きな影響を与えかねないさまざまなリスクが存在しています。

自社を取り巻く情報セキュリティリスクについて確認したうえで、適切な対策を実施しましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ