2023年02月09日公開
情報セキュリティ10大脅威 2023
今年もIPA(独立行政法人情報距離推進機構)から、情報セキュリティ10大脅威が発表されました。
情報セキュリティ10大脅威とは、前年に発生したセキュリティ事故や攻撃の状況等を基に脅威を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票から決定したランキングです。 情報セキュリティ10大脅威を確認することで、サイバー攻撃の傾向やセキュリティ対策の枠組み作り等に効果が期待されます。
「個人」向けと「組織」向けでそれぞれランキングを発表していますが、今回は「組織」向けのランキングについてご紹介します。
情報セキュリティ10大脅威とは、前年に発生したセキュリティ事故や攻撃の状況等を基に脅威を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票から決定したランキングです。 情報セキュリティ10大脅威を確認することで、サイバー攻撃の傾向やセキュリティ対策の枠組み作り等に効果が期待されます。
「個人」向けと「組織」向けでそれぞれランキングを発表していますが、今回は「組織」向けのランキングについてご紹介します。
「組織」向け10大脅威
2023年の10大脅威は昨年から順位の変動があるものの、近年猛威を奮っている「ランサムウェアによる被害」が2021年から3年連続で1位となっています。
「組織」向け10大脅威2023の中でも注目する2点を解説します。
2位「サプライチェーンの弱点を悪用した攻撃」
-
企業のセキュリティ対策が向上し、企業に対する社会的要請のレベルが高いほど、より高度なセキュリティ対策が求められます。
そのため本来の標的となる企業に対し直接サイバー攻撃を行うことが難しい場合に、有効な攻撃として考えられています。
標的にした企業へ直接攻撃を行う一般的なサイバー攻撃とは異なり、標的企業の取引先や委託先等の関連企業(サプライチェーン)を経由し、間接的に標的企業を狙う攻撃手法です。
これまでの自社のみを考えたセキュリティ対策だけでなく、関連企業への被害を考えたセキュリティ対策が必要になります。
10位「犯罪のビジネス化」
-
昨年までランキング圏外でしたが、急速にサイバー攻撃者グループの形態が企業化していることから脅威として10位にランクインしています。
犯罪のビジネス化としては、RaaS(ランサムウェア・アズ・ア・サービス)が挙げられます。
RaaSはアフェリエイトと呼ばれるメンバーを募集し、提供したランサムウェアを使用して攻撃を行い、奪った身代金の一部が報酬としてアフェリエイトへ支払われます。
また、一部攻撃者グループではランサムウェアのバグを発見した者に報酬を支払うバグバウンティ制度等、実際に企業が行っている制度を取り入れています。
ここ数年間はランサムウェアの被害の増加や、新型コロナ感染症の状況下での働き方が多様化したことによる影響もあり、10大脅威の大きな変化はありませんでしたが、新型コロナ感染症における状況が明るい兆しに向かっている2023年は脅威の変化があるかもしれません。
2月下旬にはIPAから解説書が公開予定ですので、今回ご紹介していない「個人」向けの10大脅威も併せてチェックしてみてはいかがでしょうか。
【参考URL】
- 独立行政法人情報距離推進機構(IPA) 情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html
- 独立行政法人情報距離推進機構(IPA) 情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html
【関連ソリューション】
-
【脆弱性診断サービス】
- ・ https://www.dit.co.jp/service/security/vulnerability/assessment/ 【CSIRT Cloud with CrowdStrike:マネージドEDRサービス】
- ・ https://www.dit.co.jp/service/security/monitoring/edr/ 【KnowBe4:セキュリティ意識向上トレーニング】
- ・ https://www.dit.co.jp/products/knowbe4/ 【CyberArk:特権ID管理】
- ・ https://www.dit.co.jp/products/cyberark/