🕌

どこよりも早くIPA情報セキュリティ10大脅威2024を解説する(組織編)

2024/01/24に公開

タイトル誇張詐欺だったらあらかじめお詫びします。

毎年恒例のIPA情報セキュリティ10大脅威が本日2024/01/24に公開されました。話題にした者勝ちなので当日中にネタにします。当日中のアップデートにつき後日情報あったら更新するかもしれません。あとIPAによる解説が後日公開されると思いますが、その内容と相反するものであったらすまんやで。

今北産業

  • 1位は4年連続ランサムウェア
  • 2023年からの変動:内部不正、不注意(設定ミス?)
  • セキュリティ対策の本質は従前から変わらないのでは、という個人の感想

10大脅威2024 一覧(組織編)

本日発表された2024年版の10大脅威の一覧はこちら。

情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

リストの後段のカッコ書きは筆者による2023年との比較による追記です。

  1. ランサムウェアによる被害  - (前年1位、以下同)
  2. サプライチェーンの弱点を悪用した攻撃 - (2位)
  3. 内部不正による情報漏えい等の被害 - (4位)
  4. 標的型攻撃による機密情報の窃取 - (3位)
  5. 修正前の公開前を狙う攻撃(ゼロデイ攻撃) - (6位)
  6. 不注意による情報漏えい等の被害 - (9位)
  7. 脆弱性対策情報の公開に伴う悪用増加 - (8位)
  8. ビジネスメール詐欺による金銭被害 - (7位)
  9. テレワーク等のニューノーマルな働き方を狙った攻撃 - (5位)
  10. 犯罪のビジネス化(アンダーグラウンドサービス) - (10位)

2023年版からの変化と考察

2023年版から順位の変動はあったものの、毎年のように登場した初出の脅威はありませんでした。常連メンバーですね。

1位はやはりランサムウェアによる被害。IPAによると9年連続9回目のトップ。それどころか4年連続での優勝。大学駅伝でいうと青山学院大学か駒沢大学か、あるいは高校野球でいうと大阪桐蔭かPLか池田という感じです。歳がバレますね。しかしX年連続X回目ってIPAも狙っているだろこれ。

ランクアップ(アップの良し悪しはさておき)したところで、気になるのはTop3入りした内部不正による情報漏えい等の被害。5位→4位→3位と上昇しております。2023年も内部不正案件が多数ありました。退職後に前職の名刺管理システムにアクセスして名刺情報入手→現職で営業利用なんて事案も含まれるのでしょうか。不正アクセス禁止法&不正競争防止法のコンボ案件です。いずれにしても、どこまでが内部不正に含まれるかは解説を待ちたいところです。

ランクアップ組では6位の不注意による情報漏えい等の被害が気になります。想像ですが、これはクラウドセキュリティ事案が中心となるのではないでしょうか。クラウドストレージを全世界にフルオープンにして情報流出、IAMなどのアクセス権の不備といった事案はニュースでよく目にします。これらに対する対策としてはCSPM(Cloud Security Posture Management) なのでしょうが、2024年は多くの企業で導入が相次ぐのでしょうか。そういえばPosture Managementって言葉、業界で流行っていますね。

逆にランクダウン組ではテレワーク等のニューノーマルな働き方を狙った攻撃が5位→9位に。これはコロナ禍を経てテレワークや在宅勤務が一般に普及したということでしょう。もう騒ぐほどでもなくなったということなんでしょう。テックベンチャーだけでなく、大企業でもリモートワークしてるところ多いですからね。なお私はおおむね出社していますが何か。

もう少し考察というか余談というか

優勝校のランサムウェアはどこに焦点が当たるのか。暗号化といった破壊行為なのか、ノーウェアランサムウェア(言いづらい)に代表されるような情報漏洩にフォーカスされるのか。別の視点で結果としての暗号化、情報漏洩、脅迫になるのか。そうではなく、その結果を引き起こす対策の不備の問題にフォーカスするのか。気になります。解説編を待ちましょう。

「被害がこれだけあります」というのは分かりますが、じゃあ何の対策が足りていないのか、被害が発覚する前に気づけるポイントはなかったのか、というのを専門家としては考えたいところです。ここはもうすこし考察が必要ですね。書きっぱなし&投げっぱなしジャーマンですみません。

順位変動はさておき、Top10の顔ぶれが変わらなかったのは「セキュリティ対策の本質はここ10年変わらない」という持論を裏付けるものでした。前段で触れた不注意による情報漏えい等の被害なんかが分かりやすい例です。

要するに、設定ミスの問題なら、それってオンプレミスサーバーでも変わらないと言いたいです。ハードニングのような恰好良い言葉使わなくても「不要なポートは閉じましょう」「Admin他の特権は最小に付与しましょう」なんて話は20年前から変わらないですよね。今まで慣例的にやってきた「社内だから大丈夫」「予算がないからこの辺で手を打とう」といった妥協が可視化された結果なんじゃないでしょうか。みんな大好きクラウド&ゼロトラストネットワークってそういうものなのかともう一度考えたいところです。

まとめに代えて

IPAの発表当日に頑張って解説しました。本家の意図とと違ったら申し訳ないとあらかじめ謝っておきます。追記するかもしれませんがご容赦ください。

あと個人編は元気ならそのうちやる。

Cyber-sec+

Discussion