情報セキュリティ10大脅威2024とは?不注意による情報漏えい等の被害についてご紹介
更新日 : 2024年02月06日
2024年1月24日、情報処理推進機構(IPA)は「情報セキュリティ10大脅威2024」を発表しました。 情報セキュリティ10大脅威とは、その年で社会的影響が大きかった情報セキュリティにおける事案からIPAが候補を選出し、「10大脅威選考会」の審議・投票により決定したものです。 これは個人の立場と組織の立場にわけてランキング形式で紹介されており、セキュリティ被害状況の把握や今後のセキュリティ対策を検討する上でも役に立ちます。 本コラムでは「組織」の立場におけるTOP10について、およびその対策として見落としがちな不注意による情報漏えい等の被害についてご紹介します。 |
目次 |
情報セキュリティ10大脅威2024
「組織」の立場でのTOP10は下記の通りです。ランサムウェアによる被害が4年連続1位となりました。2位になったサプライチェーンの弱点を悪用した攻撃も2年連続同じ順位となり、引き続き注意が必要です。
- 1位
- ランサムウェアによる被害(昨年順位:1位)
- 2位
- サプライチェーンの弱点を悪用した攻撃(昨年順位:2位)
- 3位
- 内部不正による情報漏えい(昨年順位:4位)
- 4位
- 標的型攻撃による機密情報の窃取(昨年順位:3位)
- 5位
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)(昨年順位:6位)
- 6位
- 不注意による情報漏えい等の被害(昨年順位:9位)
- 7位
- 脆弱性対策情報の公開に伴う悪用増加(昨年順位:8位)
- 8位
- ビジネスメール詐欺による金銭被害(昨年順位:7位)
- 9位
- テレワーク等のニューノーマルな働き方を狙った攻撃(昨年順位:5位)
- 10位
- 犯罪のビジネス化(アンダーグラウンドサービス)(昨年順位:10位)
不注意による情報漏えい等の被害とは
不注意による情報漏えい等の被害は2016年に初めて選出されてから7回選出されたセキュリティ脅威です。これは、企業など組織に所属する従業員が意図せずに情報を漏えいさせてしまうことで、具体的な被害例としては下記のとおりです。
不注意による情報漏えいの被害事例
|
不注意による情報漏えいの原因
これらの被害が発生する原因としては大きく3つ考えられます。1つ目は本人の不注意です。従業員が体調不良だったり、業務が忙しかったりなど、通常時と比べて注意力が散漫になっているときに、普段は間違えないようなミスを犯してしまうことがあります。 2つ目は情報の取り扱いに関する社内規定や業務プロセスの不備です。本来であれば参照権限を付けるべきでないユーザーが機密データに簡単にアクセス出来てしまう場合、このようなリスクが高まります。 |
3つ目は従業員の情報リテラシーが低いことが考えられます。社内で取り扱う情報の重要度や規定の理解やセキュリティ意識が低い場合、社外に公開してはいけない情報をメールで送信してしまったり、外部のウェブサイト、SNSへ投稿してしまう恐れがあります。
ヒューマンエラーを見越して、間違えそうなドメインのメールアドレスが準備されているケースもあるので注意が必要です。
対策
不注意による情報漏えい対策としても、3つ挙げられます。
1.情報規定、プロセスを整備する
データの重要度ごとに限定されたユーザーのみがアクセスできるよう、正しく権限を設定することが大切です。
2.技術的な情報漏えい対策の実装
機密情報が社外に漏えいしないよう、DLP製品の導入も対策の一つです。 記録媒体の紛失リスクを下げる為、PCにリモートワイプの機能を導入したり、USBメモリの接続を禁止したりなどデバイス管理の導入もあります。また誤送信対策用のメールセキュリティ製品もありますので、セキュリティ製品の導入でこのようなリスクを減らすことが期待できます。 |
3.従業員一人一人の情報リテラシーの向上
社内のルールやセキュリティ意識を組織に所属する全員が正しく理解していることが望まれます。社内ルールの制定や、正しく浸透しているかどうかの確認テストの実施など定期的なセキュリティ教育の実施も効果が期待できます。
まとめ
本コラムでは、情報セキュリティ10大脅威2024の概要と不注意による情報漏えい等の被害について紹介しました。
10大脅威にランクインした脅威に関して自社でどれくらい対応できているのか、見直してみてはいかがでしょうか。社員のセキュリティ意識向上と情報システム部門ご担当者様の負荷軽減を両立するセキュリティ教育サービスもご用意しています。詳細は、関連サービスをご覧ください。
セキュリティ対策の導入や運用に関してお悩みの組織については、お気軽にJBサービス株式会社へご相談ください。