トレンド情報

組織を脅かす情報セキュリティ10の脅威(2019年度版)。外部だけではない脅威

今回のコラムでは、「情報セキュリティ10大脅威2019」について取り上げます。「情報セキュリティ10大脅威2019」とは、情報処理推進機構(IPA)が、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティ関連の事案をもとに決定したものです。
※本記事は、2019年4月10日に公開された記事を一部再編集しております。

TOP3は、昨年と変わらず

「情報セキュリティ10大脅威2019」は、個人と組織の2つのランキングに分かれています。

今回は、組織の脅威に注目します。2019年の組織における情報セキュリティ10大脅威は、このようになっています。

(出展:IPA情報処理推進機構 「情報セキュリティ10大脅威2019」

1位~4位までは、標的型攻撃による被害やビジネスメール詐欺による被害など、外部からの攻撃による脅威がランクインしています。サイバー攻撃で利用される不正なマルウェアが1日に新しく発見される数は、数十万件にも達します。日々進化するサイバー攻撃に対抗するには、自社のセキュリティ対策も常に最新の状態であるよう日頃から見直すことが必要です。

また、昨年のランキングと比較すると、4位「サプライチェーンの弱点を悪用した攻撃の高まり」のランクイン、5位「内部不正による情報漏えい」のランクアップが特徴的です。それぞれの脅威について簡単に説明します。

4位 サプライチェーンの弱点を悪用した攻撃の高まり

製品やサービスにおける、原材料の調達、製造、在庫管理、物流、販売までの一連の全プロセスの繋がりをサプライチェーンと呼びます。

自社のセキュリティ対策は行っていても、一部業務を委託する取引先のセキュリティが虚弱な場合、その取引先が攻撃の足掛かりとして狙われる危険性があります。昨今、取引先が攻撃され、預けていた個人情報が漏えいする等の被害が発生しています。自社だけでなく、業務委託する取引先を含めたセキュリティ対策を行うことが重要です。

5位 内部不正による情報漏えい

従業員や関係者による機密情報の漏えい、退職者による情報の持ち出しなど、組織内部による不正行為が発生しています。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償など組織に多大な損害を与えます。

しかし、内部不正の対策は、ウイルス感染や標的型攻撃などの外部からの攻撃防止策とは異なる難しさがあります。

では、内部不正による情報漏えいを防ぐためには、どのような対策が出来るのでしょうか。

行動分析で解決する領域

行動分析で解決する方法には、大きく2つの方法が上げられるます。

ガイドラインを策定

IPAの調査によると、内部不正の要因の約7割は、「うっかりミスや不注意によるルールや規則の違反」です。これらを防ぐために、PCやUSB機器などのデジタルデバイスの活用やSNS投稿に関するガイドラインの策定や、ガイドライン徹底のための研修や定期的なチェックなどを行い、社員のルールの認知を徹底させることが必要です。

ガイドラインの策定等では、作って終わりでは効果的とは言えません。従業員の行動の改善にまでどのように落とし込み、徹底させるかが重要です。

従業員の行動を分析する方法

勤怠やWeb閲覧履歴など、さまざまなログデータから従業員の行動を解析し、従業員の不審な行動や、内部不正を行う兆候を持つ人物を検知・可視化することで、内部不正の防止を行います。一つだけの行動でなく、複数の行動を掛け合わせることで、行動の意味や背景を分析を行います。

ログ解析ツールなどの導入が必要な場合がありますが、情報漏えいや不正行為などのセキュリティ対策だけでなく、従業員のメンタルヘルス改善や離職リスク軽減、ハラスメント防止といった労務管理でも活用することができます。

外部からのサイバー攻撃に関わらず、内部からのリスク対策(内部脅威検知)も重要であり、健康診断のような内部リスク診断も行っています。

日本企業の多くは、「性善説」から組織運営がなされています。しかし、情報セキュリティに関しては、「性悪説」の観点から、内部の監視体制を強化する時代を迎えています。

参考URL
「情報セキュリティ10大脅威 2019」独立行政法人情報処理推進機構(2019)

デジタルリスクラボ編集部


デジタル化社会の新しいリスクの解決メディアとして運営。
デジタルリスクラボに関する詳しい情報は、こちら