情報セキュリティ10大脅威2022とは？順位と対策をご紹介

情報セキュリティ10大脅威2022とは？

「組織」の立場でのTOP10は下記の通りです。ランサムウェアによる被害が、昨年から引き続き1位となりました。

1. ランサムウェアによる被害（昨年順位：1位）
2. 標的型攻撃による機密情報の窃取（昨年順位：2位）
3. サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）
4. テレワーク等のニューノーマルな働き方を狙った攻撃（昨年順位：3位）
5. 内部不正による情報漏えい（昨年順位：6位）
6. 脆弱性対策情報の公開に伴う悪用増加（昨年順位：10位）
7. 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（NEW）
8. ビジネスメール詐欺による金銭被害（昨年順位：5位）
9. 予期せぬIT基盤の障害に伴う業務停止（昨年順位：7位）
10. 不注意による情報漏えい等の被害（昨年順位：9位）

情報セキュリティ10大脅威2022のポイント

ランサムウェアは組織の規模を問わず被害が発生していますが、2021年は多くの病院が被害にあったことも話題となりました。また、近年は不特定多数にばらまく手法から特定の組織に狙いを定めた攻撃へ変化しており、どの組織においてもランサムウェア対策は急務といえます。

7位には初登場の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」がランクインしました。詳しくは、次の章で解説します。

初登場「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」とは

ゼロデイ攻撃とは、修正プログラムが提供される前の脆弱性を悪用した攻撃のことを指します。 ゼロデイとは、ベンダーが対策を行う日を「1日目」と考えた場合、それ以前の「0日目」に攻撃が行われることから、このように呼ばれています。 情報セキュリティ10大脅威には初めて登場しましたが、2014年のシェルショック脆弱性や2015年のAdobe Flash Playerのゼロデイ攻撃など、以前からある攻撃手法です。

2021年は、Javaでログ出力に使われるライブラリ「Apache Log4j」の脆弱性（CVE-2021-44228）をついた攻撃が確認され話題となりました。

Apache Log4jには一部の文字列を変数として置きかえる機能「JNDI Lookup」があり、これを第三者が悪用することで、悪意のあるプログラムが実行されたりサーバー内の情報を盗まれたりする危険性があります。

Apache Log4jは世界中のさまざまなクラウドサービスで利用されているため、その深刻度は最高レベルに位置づけられました。ベンダーごとに影響の有無や対応状況が公表されていますので、利用しているサービスごとに対応状況を確認することをおすすめします。

次に、基本的なゼロデイ攻撃の対策についてご紹介します。

ゼロデイ攻撃の対策

ゼロデイ攻撃の対策としては、下記の3つが挙げられます。

1. 利用するソフトウェアのバージョンを常にアップデートする

   • ベンダーが最新バージョンや修正プログラムを公開した際は、なるべく早く適応しましょう。

   • IT資産管理ツールの活用によって、ソフトウェアのバージョン管理などに関するオペレーションコストの削減にもつながります。

2. セキュリティ対策ソフトウェアを導入

   • セキュリティ対策ソフトウェアの中には、脆弱性をつき端末をマルウェア感染させる攻撃を検知・防御する機能をもった製品があります。このような製品を導入することにより、被害リスクを削減できるでしょう。
   • また、マルウェア感染など不審な動きをしている端末を検知・対処するEDR製品の導入によって、被害を最小限に留めることが期待できます。

3. ファイアウォール、WAFを導入

   • ゼロデイ攻撃による不正アクセスを防ぐためには、ファイアウォールを導入することで内部に侵入しようとする不審な通信を防御します。
   • Webアプリケーションの脆弱性対策を行いたい場合は、WAF製品の導入をおすすめします。

おすすめのセキュリティ対策製品・サービス

各対策ごとのおすすめ製品・サービスをご紹介します。

ＪＢサービス株式会社は製品選定から導入・運用代行まで一貫してサポートしますので、お気軽にご相談ください。

1. 端末管理でお困りであれば、Microsoft Intuneがおすすめ！

   • Microsoft Intuneは各デバイスやアプリが会社のセキュリティ要件に準拠するように管理します。

   • 製品の特長などは「Microsoft Intuneとは？Intuneでできることや4つのメリットについて」をご覧ください。

2. 脆弱性を狙った攻撃の防御、EDR機能のあるエンドポイントセキュリティなら、Cortex XDRがおすすめ！

   • Cortex XDRは、エクスプロイト攻撃などを防ぐEPP機能と検知と対処機能（EDR）も持ったエンドポイントセキュリティ製品です。

   • 詳しくは製品紹介ページ「Cortex XDR Prevent ＆ Cortex XDR Pro（旧Traps）」をご覧ください。

3. 手軽にファイアウォールを利用したいなら、レンタル関所くん4.0がおすすめ！

   • レンタル関所くん4.0は、ファイアウォールのレンタルと24時間365日の監視・運用とオンサイト保守が含まれるサービスです。

   • 詳しくはサービス紹介ページ「レンタル関所くん4.0」をご覧ください。

4. 手軽にWAFを利用したいなら、Barracuda WAF-as-a-Service SMAC Editionがおすすめ！

   • Barracuda WAF-as-a-Service SMAC Editionは、クラウドWAFやサーバー証明書の取得・更新などが含まれるWebセキュリティサービスです。

   • 詳しくは製品紹介ページ「Barracuda WAF-as-a-Service SMAC Edition」をご覧ください。

まとめ

本コラムでは、情報セキュリティ10大脅威2022のご紹介と対策をご紹介しました。

これからはオフィス勤務にとらわれないハイブリッドワークがさらに加速することが考えられます。昨年初めて登場した「テレワーク等のニューノーマルな働き方を狙った攻撃」に関しても4位にランクインしていることから、引き続きセキュリティ対策を講じていく必要があります。

セキュリティ対策の導入や運用に関してお悩みの組織については、お気軽にＪＢサービスへご相談ください。

参考・引用

• 「情報セキュリティ10大脅威2022」／情報処理推進機構（IPA）

関連サービス

テレワーク・リモートワーク・BCP対策　特集

オフィス出社へとらわれない働き方としてテレワーク・リモートワークの導入が進む中、対応はお済ですか？ＪＢサービスがご支援できるテレワーク・リモートワーク・BCP対策に関するサービスをご紹介します。

詳しく »