セキュリティ評価プラットフォーム「Assured」、IPA「情報セキュリティ10大脅威 2024」発表に伴い、専門家による解説レポートを公開
[24/01/26]
提供元:PRTIMES
提供元:PRTIMES
〜クラウドサービスの設定ミス増加や、アフターコロナの働き方定着による影響が見受けられる結果に〜
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営する、セキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/ 以下、Assured)は、IPA「情報セキュリティ10大脅威 2024」の解説レポートを本日公開しました。
2024年1月24日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威 2024」が公開されました。情報セキュリティ10大脅威は、IPAが情報セキュリティ対策の普及を目的として、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。そのため、セキュリティに関する記事や資料によく引用される情報セキュリティ脅威トレンドを示す指標となっています。
この度の2024年版発表に伴い、前年からの情報セキュリティ10大脅威(組織)の変化と、上位の脅威について解説していきます。
[画像1: https://prcdn.freetls.fastly.net/release_image/34075/608/34075-608-2e3eb85bc66e1c06a879ef2551461714-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
※IPA(独立行政法人情報処理推進機構):プレス発表「情報セキュリティ10大脅威 2024」を決定を基にAssuredで作成
変動のあった脅威について
この度発表された「情報セキュリティ10大脅威 2024」では、前年から新しくランクインした脅威は無く、順位のみ変動しました。順位の変動も少なかったものの、比較的大きな変動は「不注意による情報漏えい等の被害」と「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。
「不注意による情報漏えい等の被害」はクラウドサービスの利用拡大に伴い、クラウドサービスの設定ミスによる情報漏えいが増加したことから順位が上昇したと思われます。
「テレワーク等のニューノーマルな働き方を狙った攻撃」は新型コロナウイルス感染症が5類に移行された結果、出社回帰の傾向にあることと、テレワークでの働き方が定着し、それに応じた対策が施されるようになった結果から順位が下がったと思われます。
上位3つの脅威について
ここからは、上位3つの脅威に対して解説します。
1位:ランサムウェアによる被害
前年に引き続き1位はランサムウェアによる被害でした。ランサムウェア感染はニュース等で頻繁に報道されるなど、その脅威は衰えることなく猛威を振るっています。自社環境がランサムウェアに感染した事例が多くある一方、2023年の注目すべき事例として、社労士向けSaaSがランサムウェアに感染した結果、サービス停止が1カ月続き、多数の利用企業に影響が発生する事態に発展したケースもありました。このように、SaaS事業者を標的とするランサムウェア攻撃も近年増加傾向にあり、その影響範囲も広いことから、対策が急がれます。
Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のランサムウェア対策の実態について、独自データをもとに解説したレポートを発表しています。
?SaaS事業者のランサムウェア対策実態
https://assured.jp/column/2023securityreport-vol1
2位:サプライチェーンの弱点を悪用した攻撃
サプライチェーンの弱点を悪用した攻撃は前年に引き続き2位になりました。サプライチェーンは、子会社や業務委託先、利用しているクラウドサービスなど多岐に渡っており、自社のセキュリティをいかに強化しても、サプライチェーンのなかで1つでも脆弱な箇所があればそこを踏み台に本丸を攻撃されます。2023年の注目すべき事例として、海外関連会社の委託先の従業員PCがマルウェアに感染し、そこを起点として海外関連会社のシステムを経由し個人情報を保管しているシステムに侵入され、大量の個人情報が流出したケースがありました。1位のランサムウェアによる被害で例示した社労士向けSaaSへの攻撃もサプライチェーン攻撃に該当します。
2024年4月に予定している個人情報保護法規則・ガイドラインの改正で、安全管理措置の対象が明確化され、個人データになる前の取得、又は取得しようとしている個人情報も対象になることが明記されます。個人情報の取得にクラウドサービスを利用することが今後拡大すると想定されるため、利用するクラウドサービスのセキュリティ評価がより一層重要になります。
Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ、各項目について解説したレポートを発表しています。
?2023年SaaS事業者のセキュリティ未対策項目 TOP10
https://assured.jp/column/2023securityreport-vol2
3位: 内部不正による情報漏えい等の被害
内部不正による情報漏えいは、以前から存在する脅威です。2023年の注目すべき事例として、
業務委託先のコールセンターで運用・保守をしていた派遣社員が大量の個人情報リストを持ち出して売却していたケースがありました。本件は、多数の企業が当該コールセンターを利用していたため、不正に持ち出された個人情報は約900万件にのぼるとされています。
多数の企業が利用する委託先やクラウドサービスで内部不正が発生すると、情報漏えい件数は多くなり、影響も広範囲にわたります。外部からの攻撃に注目が集まりがちですが、内部不正や過失による情報漏えい対策も重要です。
Assuredでは、内部不正・過失による情報漏えいに対するクラウドサービス事業者の対策実態について調査した結果を発表しています。
?内部不正・過失による情報漏えい対策の実態
https://assured.jp/20231027-01
[画像2: https://prcdn.freetls.fastly.net/release_image/34075/608/34075-608-d960cd55abcf951d5b603ceac9c8a860-2385x2700.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
解説:Assuredセキュリティ評価責任者 早崎 敏寛 プロフィール
WEBシステム開発を中心としたSIでキャリアをスタートし、金融機関でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャーとしてセキュリティコンサルティングを担当したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP
「情報セキュリティ10大脅威 2024」解説セミナーを開催
この度Assuredでは、IPAが発表した「情報セキュリティ10大脅威 2024」の内容について、Assuredのセキュリティコンサルタントが10大脅威の内容と対策、前年の脅威との比較について解説します。
・日程:2024年2月16日(金)11:00 ~ 12:00
※終了時間は、内容により前後する可能性がございます。
・参加料:無料
・視聴方法:Zoomでのオンライン配信
・申込みURL:https://assured.jp/seminar/20240216
・アジェンダ
‐ 情報セキュリティ10大脅威とは
‐ 2023年と2024年の比較
‐ 2024年の各脅威の解説と対策
‐ Assuredのご紹介
‐ 質疑応答
イベントのお申込みはこちら
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
URL:https://assured.jp/
X(旧Twitter):https://twitter.com/assuredjp
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営する、セキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/ 以下、Assured)は、IPA「情報セキュリティ10大脅威 2024」の解説レポートを本日公開しました。
2024年1月24日、IPA(独立行政法人情報処理推進機構)より「情報セキュリティ10大脅威 2024」が公開されました。情報セキュリティ10大脅威は、IPAが情報セキュリティ対策の普及を目的として、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。そのため、セキュリティに関する記事や資料によく引用される情報セキュリティ脅威トレンドを示す指標となっています。
この度の2024年版発表に伴い、前年からの情報セキュリティ10大脅威(組織)の変化と、上位の脅威について解説していきます。
[画像1: https://prcdn.freetls.fastly.net/release_image/34075/608/34075-608-2e3eb85bc66e1c06a879ef2551461714-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
※IPA(独立行政法人情報処理推進機構):プレス発表「情報セキュリティ10大脅威 2024」を決定を基にAssuredで作成
変動のあった脅威について
この度発表された「情報セキュリティ10大脅威 2024」では、前年から新しくランクインした脅威は無く、順位のみ変動しました。順位の変動も少なかったものの、比較的大きな変動は「不注意による情報漏えい等の被害」と「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。
「不注意による情報漏えい等の被害」はクラウドサービスの利用拡大に伴い、クラウドサービスの設定ミスによる情報漏えいが増加したことから順位が上昇したと思われます。
「テレワーク等のニューノーマルな働き方を狙った攻撃」は新型コロナウイルス感染症が5類に移行された結果、出社回帰の傾向にあることと、テレワークでの働き方が定着し、それに応じた対策が施されるようになった結果から順位が下がったと思われます。
上位3つの脅威について
ここからは、上位3つの脅威に対して解説します。
1位:ランサムウェアによる被害
前年に引き続き1位はランサムウェアによる被害でした。ランサムウェア感染はニュース等で頻繁に報道されるなど、その脅威は衰えることなく猛威を振るっています。自社環境がランサムウェアに感染した事例が多くある一方、2023年の注目すべき事例として、社労士向けSaaSがランサムウェアに感染した結果、サービス停止が1カ月続き、多数の利用企業に影響が発生する事態に発展したケースもありました。このように、SaaS事業者を標的とするランサムウェア攻撃も近年増加傾向にあり、その影響範囲も広いことから、対策が急がれます。
Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のランサムウェア対策の実態について、独自データをもとに解説したレポートを発表しています。
?SaaS事業者のランサムウェア対策実態
https://assured.jp/column/2023securityreport-vol1
2位:サプライチェーンの弱点を悪用した攻撃
サプライチェーンの弱点を悪用した攻撃は前年に引き続き2位になりました。サプライチェーンは、子会社や業務委託先、利用しているクラウドサービスなど多岐に渡っており、自社のセキュリティをいかに強化しても、サプライチェーンのなかで1つでも脆弱な箇所があればそこを踏み台に本丸を攻撃されます。2023年の注目すべき事例として、海外関連会社の委託先の従業員PCがマルウェアに感染し、そこを起点として海外関連会社のシステムを経由し個人情報を保管しているシステムに侵入され、大量の個人情報が流出したケースがありました。1位のランサムウェアによる被害で例示した社労士向けSaaSへの攻撃もサプライチェーン攻撃に該当します。
2024年4月に予定している個人情報保護法規則・ガイドラインの改正で、安全管理措置の対象が明確化され、個人データになる前の取得、又は取得しようとしている個人情報も対象になることが明記されます。個人情報の取得にクラウドサービスを利用することが今後拡大すると想定されるため、利用するクラウドサービスのセキュリティ評価がより一層重要になります。
Assuredでは、2023年におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ、各項目について解説したレポートを発表しています。
?2023年SaaS事業者のセキュリティ未対策項目 TOP10
https://assured.jp/column/2023securityreport-vol2
3位: 内部不正による情報漏えい等の被害
内部不正による情報漏えいは、以前から存在する脅威です。2023年の注目すべき事例として、
業務委託先のコールセンターで運用・保守をしていた派遣社員が大量の個人情報リストを持ち出して売却していたケースがありました。本件は、多数の企業が当該コールセンターを利用していたため、不正に持ち出された個人情報は約900万件にのぼるとされています。
多数の企業が利用する委託先やクラウドサービスで内部不正が発生すると、情報漏えい件数は多くなり、影響も広範囲にわたります。外部からの攻撃に注目が集まりがちですが、内部不正や過失による情報漏えい対策も重要です。
Assuredでは、内部不正・過失による情報漏えいに対するクラウドサービス事業者の対策実態について調査した結果を発表しています。
?内部不正・過失による情報漏えい対策の実態
https://assured.jp/20231027-01
[画像2: https://prcdn.freetls.fastly.net/release_image/34075/608/34075-608-d960cd55abcf951d5b603ceac9c8a860-2385x2700.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
解説:Assuredセキュリティ評価責任者 早崎 敏寛 プロフィール
WEBシステム開発を中心としたSIでキャリアをスタートし、金融機関でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャーとしてセキュリティコンサルティングを担当したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP
「情報セキュリティ10大脅威 2024」解説セミナーを開催
この度Assuredでは、IPAが発表した「情報セキュリティ10大脅威 2024」の内容について、Assuredのセキュリティコンサルタントが10大脅威の内容と対策、前年の脅威との比較について解説します。
・日程:2024年2月16日(金)11:00 ~ 12:00
※終了時間は、内容により前後する可能性がございます。
・参加料:無料
・視聴方法:Zoomでのオンライン配信
・申込みURL:https://assured.jp/seminar/20240216
・アジェンダ
‐ 情報セキュリティ10大脅威とは
‐ 2023年と2024年の比較
‐ 2024年の各脅威の解説と対策
‐ Assuredのご紹介
‐ 質疑応答
イベントのお申込みはこちら
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
URL:https://assured.jp/
X(旧Twitter):https://twitter.com/assuredjp
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/