「情報セキュリティ10大脅威 2023」に見る、最新のサイバー攻撃に備えるポイント

日々、サイバー攻撃による組織への被害が深刻化しています。今年3月、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2023」では、ますます巧妙化するサイバー攻撃の手口が明らかになりました。そこで今回は、情報セキュリティ10大脅威のうち、企業や組織に関連する脅威を中心に、その手口と実施すべき対策を解説していきます。

ランサムウェアが組織にとって最大の脅威に

情報セキュリティ10大脅威 2023(組織部門)において、第1位となったのは昨年に引き続き「ランサムウェアによる被害」でした。ランサムウェアとは、標的となる組織の重要なデータを暗号化し、暗号化を解除する代わりに身代金を要求する悪質な攻撃のことで、最近では企業が数週間の営業停止や金銭的被害を受ける事例が相次いでいます。

情報セキュリティ10大脅威 2023
出典:IPA「情報セキュリティ10大脅威 2023」

2位から9位までは順位が入れ替わっているものの、昨年と同様、スパムメールやフィッシング詐欺、悪意のあるソフトウェアなど、これまでも話題にあがることが多くあったセキュリティ上の脅威が引き続き高いリスクとして挙げられています。

しかし2023年、10位には新たに「犯罪のビジネス化(アンダーグラウンドサービス)」が登場しています。アンダーグラウンドサービスとは、インターネット上に存在する秘密の闇市場のことで、違法な商品やサービスの取引を指します。例えば、ハッキングツールや氏名・住所などの個人情報、不正に取得した情報をもとに作成された偽造クレジットカードの取引などです。

アンダーグラウンドサービスによって、専門的な知識を持たない人でもサイバー攻撃を行えるようになります。その結果、攻撃者全体の数が増え、標的となる企業や組織が増加し被害が拡大する可能性があります。

サイバー攻撃に対して、組織が優先的に実施すべき対策とは

サイバー攻撃の被害に遭わないためには、さまざまなセキュリティ対策を実施していく必要があります。その中でも、以下に示す4点を重点的に実施していくとよいでしょう。

1. デバイスの保護

組織が優先的に実施すべき対策としては、従業員が利用するPCやスマートフォンといった「デバイスの保護」が挙げられます。デバイスの保護には、OSやソフトウェアを最新のバージョンに保つことが必要不可欠です。最新のバージョンに更新することで、セキュリティ上の欠陥が修正され、攻撃者による悪用を防げます。

また、EDR(Endpoint Detection and Response)の導入も効果的です。EDRは、エンドポイント(PCやスマートフォンなどのデバイス)での攻撃を検知し、実行の防止や端末の隔離などの対策ができるソリューションのことです。

従来のウイルス対策ソフトは、すでに危険と分かっているファイルのみを防止する仕組みが多かったため、端末内での不正な挙動までは検知できませんでした。EDRは、従来のウイルス対策ソフトで防いでいた不正ファイルの実行防止に加えて、端末上の不正な挙動までを検知することができます。

そのほかにも、従業員が利用するパスワードの複雑化や更新、端末のセキュリティ設定の見直しなど、さまざまな取り組みが必要です。これらの対策を実施することで、組織内のデバイスを安全に保護できるでしょう。

2. 外部通信の監視

外部通信の監視を優先的に実施すべき理由は、外部からの攻撃を事前に発見し、適切な対応を行うことができるからです。

外部通信とは、社外から社内へ向かう通信のことで、境界となる部分を監視する必要があります。例えば、外部から社内の重要なサーバーへ不正アクセスをしようとした際、外部通信を監視していれば、不正な通信が流れてきたと判断して事前に防止することができます。

具体的には、IPS/IDSやファイアウォールといった製品を導入することで、不正な通信を検知し、ブロックできます。また、複数のセキュリティ機能を搭載したUTM(Unified Threat Management)を導入し、SOCサービスによる監視体制を利用するのも効果的です。

SOCサービスは、24時間365日体制でセキュリティエキスパートが常駐して、セキュリティイベントの監視、分析、対応を行うサービスです。UTMとSOCサービスの導入を合わせて提供するケースが多く、外部通信の監視に特化したSOCサービスでは、不審な通信を自動で検知し、専門家が詳細な分析を行い、必要に応じて対応を行います。UTMとSOCサービスを導入することで、不正な外部通信を未然に防ぎ、サイバー攻撃から守ることができるでしょう。

3. 従業員教育

組織のセキュリティ対策において、従業員に対するセキュリティ教育も欠かせません。特に、標的型攻撃の増加やビジネスメール詐欺の被害が拡大しているなか、社内でのセキュリティ意識の向上が求められています。

従業員教育には、標的型攻撃メールへ対処するトレーニングや、教育コンテンツの活用、社内向けの啓蒙活動などがあります。例えば、フィッシングメールなどの模擬演習を通じて、従業員が正しい判断力を身につけ、不正なメールを回避できるようになります。また、社内啓蒙活動では、セキュリティに関する情報を積極的に共有することで、従業員のセキュリティ意識を高めることができます。

組織でどれだけセキュリティ対策を講じていたとしても、最終的な防衛ラインは「人」になります。そのため、組織全体のセキュリティを確保するためにも従業員教育は重要なポイントと言えるでしょう。

4. 重要情報の保護

組織内の重要情報の保護とは、機密情報を外部に流出させないための対策です。組織ではさまざまな重要情報を取り扱っていますが、その中でも機密性が高い情報をやりとりする代表的なものとして「契約」が挙げられます。契約書には機密および専有情報、具体的には資産やビジネス関連、どのように事業展開しているかといった情報が含まれています。そのため、契約書を保護することは、情報保護の観点からも重要な要件です。

最近では電子署名サービスを利用して契約を締結することも増えていますが、電子署名サービスを提供するベンダー側でセキュリティ対策を講じていたとしても、内部関係者による不適切な行動や過失、認証情報の盗用によって情報漏洩が起こる可能性もあります。そこで活用したいのが、「DocuSign Monitor」です。DocuSign Monitorは、24時間体制でDocuSign eSignature(ドキュサインの電子署名)のアカウントの行動履歴を監視し、潜在的な脅威を準リアルタイムで検知して、迅速かつ的確な対応をサポートします。これにより、セキュリティ運用とコンプライアンスを向上し、「契約」に含まれる重要情報の保護をより一層強化することができます。

まとめ

「情報セキュリティ10大脅威 2023」では、昨年に引き続き「ランサムウェア」が組織に対する情報セキュリティ脅威のトップとなり、そのほかにも組織にとって脅威となる攻撃が多数ランクインしました。初のランクインとなった「犯罪のビジネス化(アンダーグラウンドサービス)」についても、不正に取引された攻撃用のツールを利用し、組織へサイバー攻撃を仕掛けてくる可能性が考えられます。こうしたサイバー攻撃を防ぐためにも、今回紹介した4つの対策から取り組みはじめ、組織のセキュリティレベルを向上させていくとよいでしょう。

おすすめ記事:メールセキュリティは大丈夫?日本の現状と最新動向を踏まえた対策
Contributeur DocuSign
筆者
DocuSign
公開