本文へジャンプ

ITトレンド記事 コラム

IPAの「情報セキュリティ10大脅威 2024」から読み解く
セキュリティ対策の肝とは?(後編)

ランサムウェア
ゼロデイ攻撃
不正アクセス
人的脆弱性

内部不正
標的型攻撃
サイバーセキュリティ被害・影響

フリーライター 吉村哲樹

IPAの「情報セキュリティ10大脅威 2024」から読み解くセキュリティ対策の肝とは?(後編) IPAの「情報セキュリティ10大脅威 2024」から読み解くセキュリティ対策の肝とは?(後編)

「人の脆弱性」に起因する
セキュリティインシデントが後を絶たない

 IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」(以下、10大脅威)は、サイバーセキュリティの最新のトレンドを知る上で極めて貴重な情報源であり、サイバーセキュリティに少しでも関わっている方であればぜひともチェックしておきたいところです。なお最新版の「情報セキュリティ10大脅威 2024」はIPAのサイト(https://www.ipa.go.jp/security/10threats/10threats2024.html)で誰でも自由に閲覧できますので、まだ御覧になったことがない方はぜひ一読されることをお勧めします。

 このレポートでは、過去1年間に発生したさまざまなセキュリティインシデントを「個人向け脅威」と「組織向け脅威」に分け、組織向けのものに関しては1位から10位までの順位を付けて発表しています。その顔触れを見ると、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」など、普段報道で見聞きする機会が多い攻撃手法がずらりと並んでいます。

 これらの攻撃手法については、別途「『情報セキュリティ10大脅威 2024』から読み解くセキュリティ対策の肝とは?(前編)」で詳しく解説しているので、もし未読の方はぜひご参照いただければと思います。

 一方、上記で挙げたもの以外にも、注目すべき攻撃手法が幾つかあります。3位の「内部不正による情報漏えい等の被害」は2016年から9年連続でランクインしており、また6位の「不注意による情報漏えい等の被害」は6年連続7回目、8位の「ビジネスメール詐欺による金銭被害」も7年連続7回目と、長らく10大脅威に取り上げられ続けている脅威が意外と多いことが分かります。

そしてこれらの脅威に共通するのが、主に「人の脆弱性」に起因して被害が発生しているという点です。

「人の脆弱性」に起因するセキュリティインシデントが後を絶たない

「内部不正による情報漏えい」は
企業経営者にとって重大な経営リスク

 一般的にサイバーセキュリティ対策というと、「"外部"からの攻撃をいかに防ぐか」という点に主眼が置かれる傾向があります。前編で取り上げたランサムウェア攻撃やサプライチェーン攻撃などは、まさにこうした攻撃の代表例と言えます。こうした攻撃から自社の貴重な情報資産を守るためには、外部からの攻撃をいち早く検知して除去できるセキュリティ製品の導入がやはり不可欠です。

 しかしその一方で、組織の"内部"の関係者が意図的に情報を流出させるインシデントが近年急増しています。また従業員がフィッシングメールに引っ掛かってしまったり、PCやUSBメモリを紛失させてしまうといったように、うっかりミスによって意図せず情報を漏えいさせてしまうケースも相変わらず後を絶ちません。USBメモリ経由で個人情報を含む機密情報が漏えいしたインシデントのニュースは未だに頻繁に目にしますし、悪意のある内部犯行者が機密情報を意図的に外部に持ち出す犯罪も一向に止む気配がありません。

 外部の攻撃者に比べて組織の内部の人間、特に業務で普段から機密情報を扱っている者は、それらの情報に対する広範なアクセス権を付与されているため、ひとたびそれらの情報が持ち出されてしまった際の影響範囲は、外部からの攻撃に比べて大きくなりがちです。

 こうしたインシデントによる被害を防ぐために、近年ではUSBメモリを強制的に利用できなくするツールや、データを暗号化して万が一外部に流出してもその中身が読み取れないようにするツールを導入する企業も増えてきました。確かにこうしたセキュリティ製品の導入はある程度有効ですが、根本的に内部不正を抑止するためには、そもそも内部不正を起こさせないよう内部の人間の意識やリテラシーを向上させることが重要です。

 しかしIPAが2023年4月に公表した「『企業の内部不正防止体制に関する実態調査』報告書」によれば、企業の経営層が内部不正リスクを優先度の高い経営課題として捉えている割合は約40%と、かなり低い水準に留まっています。そのため同報告書では、まずは企業の経営者が内部不正リスクを重要な経営課題として認識し、その上で、組織全体でリテラシー向上を図る必要があると提言しています。

不正メールを見破るために
従来より高いリテラシーが必要に

 10大脅威の4位にランクインした「標的型攻撃による機密情報の窃取」や、8位の「ビジネスメール詐欺による金銭被害」は、どちらも不正メールが初期侵入の主な手段として用いられますが、その手口は年々巧妙さを増しています。

 近年の高度なサイバー攻撃では、攻撃対象の内部ネットワークに侵入して長期間に渡り潜伏しながら、内部でやりとりされるメールを盗聴します。その上で、盗聴したメールの内容を基に送信元やタイトル、文面を通常の業務メールであるかのように巧妙に装った不正メールを作成し、それを内部の社員に送付することで不正な添付ファイルの開封や、フィッシングサイトのリンクのクリックへと巧みに誘導します。

 このような不正メールと正規の業務メールとを正確に見分けるには、これまでのように「文面の日本語が不自然」「送信元のドメインが正しくない」といった分かりやすい判別方法だけでは明らかに不十分です。実際に最近の攻撃で用いられた巧妙な不正メールの実例を示しながら、従業員に注意を喚起する必要があります。

 特に近年では世界中で生成AIが爆発的に普及したことで、海外の攻撃グループが不正に生成AIを利用して、極めて自然な日本語のメール文面を簡単に作成できるようになりました。このように攻撃側のスキルが以前と比べて明らかに向上しているため、防御側もこれに対抗するために自らのスキルアップを図る必要があります。そのため不正メールに関する教育や訓練の内容も、常に最新の攻撃手法を念頭にアップデートしていくことが重要です。

 ましてや近年では、ITスキルが比較的低い企業のエグゼクティブを狙ってビジネス詐欺メールを送り付けて、不正送金へと巧みに誘導する手口も数多く報告されています。そのため現場の従業員だけでなく、エグゼクティブ層に対しても高いリテラシーを身に付けるための教育をきちんと施すことが大事です。

不正メールを見破るために従来より高いリテラシーが必要に

「人の脆弱性」の診断と対処のプロセスを継続的に回し続ける

 セキュリティ製品を導入することも極めて重要です。サイバー攻撃をブロックするための基本的なセキュリティ製品、例えばファイアウォールやアンチウイルスソフトなどの導入はいまさら言うまでもないでしょう。

 加えて、これまで紹介してきたように、近年のサイバー攻撃の手口は巧妙を極めていますから、これらの製品だけで感染や侵入を100%防ぐのは極めて困難です。そのため、内部にマルウェアが侵入してしまった場合に備え、それらをいち早く検知・除去できる「EDR(Endpoint Detection and Response)」「NDR(Network Detection and Response)」といったセキュリティ製品を導入する企業も増えています。

 内部不正を防止するための仕組みを導入・強化する企業も増えており、サーバへの不正アクセスを防止するための「特権ID管理」、クラウドアプリケーションの認証管理やログ管理を一元的に行うための「CASB」、業務上許可されていないサイトへのファイルのアップロードを監視・ブロックする「フィルタリング製品」といったツールの導入例が増えてきています。

 しかしいくら多額の予算をつぎ込んでこれらのセキュリティ製品を導入しても、社内の従業員や経営陣が内部不正や不正メールについてまったく無知な状態では、内部不正やフィッシングメール、ビジネスメール詐欺のリスクを低減するのは難しいでしょう。特に近年では攻撃側の手口が日進月歩で進化しているため、これらをタイムリーにキャッチアップしつつ従業員や経営陣に対して具体的な対策方法をレクチャーしていかないと、攻撃側のスピードに付いていくことはできません。

 そのためには先ほども述べたように、リアルな事例を用いて攻撃側の具体的な手口を示すことです。最近実際に発生したインシデントで用いられた手口や、不正メールの文面などを示して、頻繁に従業員や経営陣に注意を喚起することが大事です。内部不正を防止する上でも従業員のリテラシー向上は不可欠ですが、同時に従業員のシステムへのアクセス履歴をログとして保存し、不正利用を監視していることを繰り返し社内に周知させ、「不正行為は決して見逃さない」というメッセージを発信し続けることで内部不正をけん制する必要があります。

 これまでセキュリティインシデント発生時や広範囲に被害が発生したニュースを機会に訓練や教育をして安心していた企業も、これからは年間を通してリテラシー教育や注意喚起を継続的に行いながら、「人の脆弱性」への対策を適宜アップデートしていける体制とプロセスを構築することが求められるでしょう。

不正メールを介した攻撃を防ぐにはセキュリティ製品の導入だけでは不十分で、やはり定期的な状況把握と啓蒙活動が不可欠です。そのため東芝ITサービスでは、企業の従業員や経営陣の標的型メールに対する意識やモラルを向上することを目的とした「標的型メール訓練サービス」を提供しています。

またサーバやPCのセキュリティ状態を診断し、企業が自前でセキュリティ監査を実施できるセキュリティ診断ツール「セキュドック」も提供しています。

本稿で紹介した「人の脆弱性に起因するセキュリティインシデント」のリスクを少しでも低減するために、ぜひこれらのサービスの利用をご検討いただければ幸いです。

このページのトップへ