IPA(情報処理推進機構)は2024年1月24日、「情報セキュリティ10大脅威 2024」を発表しました。
毎年ニュースになる本件を「組織」へのサイバー保険の視点でご案内します。
「情報セキュリティ10大脅威 2024」とは
IPA「情報セキュリティ10大脅威 2024」は、IPA(情報処理推進機構)が2023年に発生した「社会的に影響が大きかった」と考えられる情報セキュリティトピックを選出し「10大脅威選考会」が審議・投票で決定したものとなります。毎年「個人部門」と「組織部門」が発表されますが、今年は1位から10位までが前年と同じトピックとなりました。 ここでは企業向けの「組織部門」を紹介します。
情報セキュリティ10大脅威 2024 [組織]
![IPA 情報セキュリティ10大脅威 2024 [組織]](https://column.cyber-insurance.jp/wp-content/uploads/2024/01/cyber-24_2.jpg)
出典:IPA(独立行政法人情報処理推進機構)プレス発表「情報セキュリティ10大脅威 2024」を決定
1位: ランサムウェアによる被害
2位: サプライチェーンの弱点を悪用した攻撃
3位: 内部不正による情報漏えい等の被害
4位: 標的型攻撃による機密情報の窃取
5位: 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位: 不注意による情報漏えい等の被害
7位: 脆弱性対策情報の公開に伴う悪用増加
8位: ビジネスメール詐欺による金銭被害
9位: テレワーク等のニューノーマルな働き方を狙った攻撃
10位: 犯罪のビジネス化(アンダーグラウンドサービス)
本年の組織における脅威の1位は、前年と同じく「ランサムウェアによる被害」が1位、続いて「サプライチェーンの弱点を悪用した攻撃」が2位となりました。
ランサムウェアの攻撃はサプライチェーンへの攻撃と組み合わせて被害が拡大することが多いサイバー攻撃の手法です。特に企業への攻撃の場合は、4位の標的型攻撃がランサムウェアとサプライチェーンへ連鎖していくケースが多く、中小企業から大企業へ連鎖していくことで被害が拡大していきます。
毎年同じトピックが挙がるということは、サイバー犯罪者にとってそれだけ旨味があるということで、サイバー犯罪者もより高度な攻撃をしかけてきています。
本コラムでも被害の全容をご紹介していますのでご参照ください。
▼ランサムウェアとは?感染経路や被害事例から対策を解説
▼なぜ中小企業が狙われる「サプライチェーン攻撃」とは?
前年度と同じトピックになった理由
そのほか、3位以降もすべて前年と同じトピックが選出されていますが、それはなぜでしょうか。まずはIPAからのコメントをご紹介します。
IPAからのコメント
3位の「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は前年から順位を上げています。これらは、組織内の「人」が原因となる脅威です。
2022年にIPAでは「内部不正防止ガイドライン」を改訂し、働き方の変化や新技術への対応など時代の変化に合わせて対応が必要であることを述べています。
外部からの攻撃などITに関する対策だけでなく、内部の不正やミスといった人に関する対策も重要です。
従業員が原因となるサイバー事件が増加
IPAが「組織内の人が原因となる脅威」と指摘しているとおり、外部からの攻撃以外に内部不正や従業員などのミスが発端のサイバー事件が増加し、社会的な問題になっているということがわかります。特に情報漏洩は、意図的に不正な情報漏洩を行うケースが3位の「内部不正による情報漏えい等の被害」となり、6位が「不注意による情報漏えい等の被害」です。
どちらも対策によっては被害を縮小することができるインシデントですが、中小の企業ではあまり対策をしてこなかったリスクです。
しかし、2022年の時点で営業秘密の不正持ち出し(不正競争防止法違反)の検挙事件数は過去最多となっています。 また、2022年の改正個人情報保護法の施行により個人情報を漏えいさせた事業者は被害者への報告義務を追うことになりました。義務違反をすれば罰則も科せられるため、コンプライアンスの観点からも情報セキュリティ対策に本格的に取り組む必要が急務です。
うちの会社は大丈夫という過信
しかしながら、「うちの会社は大丈夫だよ」
「自社は狙われるような情報資産がないから」
「うちは攻撃を受けても被害が発生しようがない」という考え方を持つ中小企業の経営者も少なくありません。
約3割が「IT投資」「セキュリティ投資」を行っていない
独立行政法人情報処理推進機構が発表した「2021年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、いまだに企業の30%が「IT投資・セキュリティ投資をしていない」と回答しています。また、33.1%は過去3期の「情報セキュリティ対策投資」についても「投資をしていない」と回答しています。
セキュリティ対策が薄い中小企業がターゲット
しかし、悪意のあるハッカーのターゲットは必ずしも機密情報や価値のあるような情報資産だけではありません。その企業の持つ情報に価値はなくても、パソコンを乗っ取ることで踏み台にし、第三者へのサイバー攻撃に悪用したり、親会社や取引先、顧客を騙し脅迫するなど手法など重い被害へ発展するケースがあります。
たとえ規模の小さい組織や情報でもサイバーリスクがあるのです。
今現在も猛威を振るっているランサムウェア(悪意のあるマルウェア)は、あえてセキュリティ対策が薄い中小企業をターゲットに狙います。
サイバー攻撃に狙われるのは大企業だけではなく中小企業となった今では、いつ自社がターゲットとなってもおかしくありません。
上記のような過信や当事者意識の希薄さが、10大脅威のトピックが毎年変わらず、サイバー犯罪者たちの標的になり続けているということがおわかりいただけましたでしょうか。
いざという時に企業を守る「サイバー保険」
サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている損害保険です。サイバー攻撃は年々増え続けており、そのリスクが日々変化し手法が巧妙化すると共に、被害も複雑化しています。
また10大脅威のにもあったように、テレワークやウェブ会議の定着が進み、新しい環境で仕事をする機会が増えたことで対策はますます困難な状況となったと言えます。
大企業であれば、サイバーセキュリティを所管するITの専門部署が存在しており体制構築も整備され、セキュリティ意識も非常に高く保たれています。
しかしに特に専門部署を設けていない中小企業は突然やってくるサイバー事故への初動対応体制や手順を整備されていないのではないでしょうか。
まずはしっかりとセキュリティ対策を行い、万一の際の備えとして「被害を最小限に留めてくれるサイバー保険」の加入もご検討ください。
サイバー保険に関しては、以下の記事もご覧ください。
▼サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説
サイバー保険コラムの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
まとめ
企業にとって情報セキュリティ対策は、会社全体で取り組むべき最重要の経営課題のひとつです。対策を疎かにしておくと思いもよらない訴訟や損害賠償へ発展する可能性があり、企業の信頼を大きく損なう可能性もあります。
会社規模や業種に関わらず、正しいセキュリティ対策を意識し、サイバー保険も視野にいれて自社のセキュリティ対策に取り組んでみてください。
