IPA「情報セキュリティ10大脅威2024」要点と対策をわかりやすく解説

IPA「情報セキュリティ10大脅威2024」要点と対策をわかりやすく解説
2024.1.24

毎年公開されているIPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威2024」が発表されました。
このランキングは、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案について、ランキング形式でまとめられたもので、情報セキュリティ対策の参考としている企業も多いと思います。
2024年1月24日に発表された内容について、対策を含めて解説します。

セキュリティ無料相談

目次

2024年の公表内容

情報セキュリティ10大脅威2024(組織編)の内容は以下の通りです。

順位前年
順位
内容
1位1位ランサムウェアによる被害
2位2位サプライチェーンの弱点を悪用した攻撃
3位4位内部不正による情報漏えい等の被害
4位3位標的型攻撃による機密情報の窃取
5位6位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位9位不注意による情報漏えい等の被害
7位8位脆弱性対策情報の公開に伴う悪用増加
8位7位ビジネスメール詐欺による金銭被害
9位5位テレワーク等のニューノーマルな働き方を狙った攻撃
10位10位犯罪のビジネス化(アンダーグラウンドサービス)
出典:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2024

前年(2023年)との比較

前年と比較して、新たな脅威は選出されなかったものの、順位に変動がありました。
昨年は内部不正による大きな情報漏えい事案が発生したため「内部不正による情報漏えい等の被害」の順位が4位から3位に上がるとともに、「不注意による情報漏えい等の被害」も9位から6位に上がりました。
また、コロナの影響が少なくなり「テレワーク等のニューノーマルな働き方を狙った攻撃」が下がりました。

情報セキュリティ10大脅威2024の注目するべき点

ランサムウェアによる被害

ランサムウェアによる被害が1位になるのは、これで連続4年目です。
統計にも表れており、警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも、増加傾向は治まっているものの高止まりしている状態です。

企業・団体等におけるランサムウェア被害の報告件数の推移
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
【企業・団体等におけるランサムウェア被害の報告件数の推移】


警察庁に報告があった件数のうち、78%がデータの暗号化のみならず、窃取したデータの公開による2重脅迫によるものでした。
また、近年では、ランサムウェアの特徴であった「暗号化」を行わず、窃取したデータの公開のみで脅迫する「ノーウェアランサム」の攻撃が確認されています。
参考:被害が増加する新たな脅威「ノーウェアランサム」とは?その手口や対策をご紹介
ランサムウェアの被害は自社の業務停止に伴い、親会社や取引先などの業務にも影響を及ぼす可能性があり、2位にランキングされている「サプライチェーンの弱点を悪用した攻撃」にもなりかねません。

ランサムウェアの対策

ランサムウェアの感染経路は正しく管理しておらず、脆弱性をもったネットワーク機器からの侵入が82%と多くを占めています。
ランサムウェア対策のポイントは、FWやUTM、VPN機器などセキュリティのために導入した機器の脆弱性を放置せず、しっかり管理することです。

ランサムウェアの感染経路
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
【ランサムウェアの感染経路】

管理においておきがちなトラブルは

  • ベンダが管理してくれているものと思っていた
  • 保守が切れたけど、そのまま使っていた

などの、機器の運用や保守に関する責任分界点があいまいであることが原因として考えられます。
ALSOK UTM運用サービスでは、導入したUTMをお客様に代わって脆弱性情報の収集、セキュリティパッチ適用することにより適切に管理いたします。

内部不正による情報漏えい

2023年は内部不正による大きなセキュリティインシデントが発生しました。
近年、働き方の潮流が大きく変化しており、従来のように一つの企業に長期間勤務することが減少しています。フレキシブルな働き方が増え、転職や派遣といった選択肢が広がりました。
このような変化は、働き手にとって新たな機会を提供する一方で、企業にとっては情報が外部へ流出する機会の増加につながっています。

内部不正による情報漏えい対策

内部不正による情報漏えいのシステム対策としてはハードウェアやソフトウェアの監視が有効です。IT資産管理ソフトには、不正な行動を監視するほか、外部デバイスへのデータの書き出しを制御する機能があります。

不注意による情報漏えい等の被害

不注意による情報漏えいは、依然として情報機器の置忘れやメールの誤送信で発生しています。
新たな不注意による情報漏えいとして注目したい点は生成AIによるものです。日経トレンディ2023年ヒット商品ベスト30の第1位に「ChatGPT」が選ばれるなど、2023年はAIに注目が集まる一年となりました。
AIは様々な業務を効率的に行うことができ、便利なツールである一方、生成AIに関するリスクも浮き彫りとなってきました。
業務で生成AIを使用する際に、外部の生成AIサービスに悪意なく個人情報など機密情報を入力してしまうリスクが高まっており、第6位の不注意による情報漏えい等の被害として注意が必要です
参考:生成AIがもたらすリスクとその対策。情報セキュリティ対策の重要性

不注意による情報漏えい等の対策

IT資産管理ソフトには、紛失したPCのリモートロック機能や、データ消去機能を備えたものがあります。また、URLフィルタリング機能を使用すれば生成AIのサービスを制限することも可能です。

セキュリティ無料相談

まとめ

情報セキュリティ10大脅威2024は多くの企業がセキュリティ対策の参考としていると思います。
今年で4年連続1位となったランサムウェア対策や、順位が上昇した内部不正の対策など、様々な対策がもとめられています。
すべての脅威に対する対策を行うことがベストですが、実現することは困難です。2024年度より、個人の向けの情報セキュリティ10大脅威から順位付けがなくなったことからもわかるとおり、重要な点はランキングにとらわれることなく、自社に必要なセキュリティ対策を見極め、優先順位付けして対応することです。