インターネットが発達し、ビジネスのほぼ全てにITが取り入れられるようになりました。
しかし、IT の発達によって多くの業務が効率的になりつつあるものの、サイバー攻撃によるトラブルのリスクも増えているのはご存じの通りです。

独立行政法人情報処理推進機構は、2017年に多く発生した情報セキュリティにおける脅威として、「情報セキュリティ10大脅威2018[U1] 」を発表しています。

今回は、この「情報セキュリティ10大脅威」の内容について詳しく見ていきましょう。

「情報セキュリティ10大脅威」とは

情報セキュリティ10大脅威は、社会的に影響が大きかったと考えられる情報セキュリティにおける事案のランキング上位10個を指したものです。

この10大脅威の選出方法は、まずIPA（情報処理推進機構）が脅威候補の選出を行います。
そして、情報セキュリティ分野の研究者や企業の実務担当者など、約100名のメンバーで構成された「10大脅威選考会」が、その脅威候補に対して審議・投票を行って決定するという流れです。

ちなみに、最新の「情報セキュリティ10大脅威2018」では、以下のような結果となっています。

情報セキュリティ10大脅威（個人）

1位：インターネットバンキングやクレジットカード情報等の不正利用

2位：ランサムウェアによる被害

3位：ネット上の誹謗・中傷

4位：スマートフォンやスマートフォンアプリを狙った攻撃

5位：ウェブサービスへの不正ログイン

6位：ウェブサービスからの個人情報の窃取

7位：情報モラル欠如に伴う犯罪の低年齢化

8位：ワンクリック請求等の不当請求

9位：IoT機器の不適切な管理

10位：偽警告によるインターネット詐欺

情報セキュリティ10大脅威（組織）

1位：標的型攻撃による被害

2位：ランサムウェアによる被害

3位：ビジネスメール詐欺による被害

4位：脆弱性対策情報の公開に伴う悪用増加

5位：脅威に対応するためのセキュリティ人材の不足

6位：ウェブサービスからの個人情報の窃取

7位：IoT機器の脆弱性の顕在化

8位：内部不正による情報漏えい

9位：サービス妨害攻撃によるサービスの停止

10位：犯罪のビジネス化（アンダーグラウンドサービス）

出典：【情報処理推進機構「情報セキュリティ10大脅威 2018」】　　https://www.ipa.go.jp/security/vuln/10threats2018.html

ビジネスメール詐欺（BEC）の被害額が増加中

上記のランキングからもお分かりいただけるように、組織の3位にはビジネスメール詐欺による被害がランクインしています。

1位の「標的型攻撃による被害」と2位の「ランサムウェアによる被害」に関しては同じ順位でしたが、3位の「ビジネスメール詐欺による被害」は昨年ランク外でした。
つまり「ビジネスメール詐欺による被害」は、ここ一年の間に急増している事案ということなのです。

2017年12月には、大手航空会社が偽の請求書メールに騙され、3億8,000万円の被害にあっています。
この詐欺の手法として考えられるのは、社内のパソコンもしくは取引先のパソコンをウイルス感染させてメールを盗み見たり、メールアカウント自体を乗っ取ったりするというもの。
こうした手口により、大手航空会社は3億8,000万円もの被害に遭いました。

米連邦捜査局（FBI）が2017年5月に発表した内容によると、2013年10月から 2016年12月までのBECの被害総額は、約53億米ドルに上っています。
また、国内でもBECの被害は多くなっており、トレンドマイクロは、2016年の上半期だけで約200の日本企業がBEC関連の攻撃メールを受信したことを確認しています。

こういった点を踏まえても、ウイルス感染やアカウントの乗っ取りなどに細心の注意を払わなければ、大きな被害を受ける可能性があることがお分かりいただけるでしょう。

経営課題でもあるセキュリティ人材の不足

情報セキュリティの脅威は年々大きくなりつつあるため、ここ最近はセキュリティ人材を育成するための試みが進んでいます。
​​​​​​​

しかし、この試みも、決して上手くいっていないというのが実際のところです。
なぜなら、セキュリティ人材は、セキュリティに関する知識だけを持っていても機能するわけではなく、その土台とも言える「システムプラットフォーム」に関する知識と、運用業務に関する知識が必要になるからです。
これらの知識を完璧に把握するのは簡単なことではないため、育成候補となるセキュリティ人材がそもそも少なくなってしまっている状況にあります。

また、セキュリティ人材の不足には、もう一つ深刻な原因があると言われています。
それは、「実戦経験を積むのが難しい」という点です。
セキュリティ人材が実戦経験を積もうとした場合、実際に「攻撃者」が現れなければならないということになります。
​​​​​​​

とは言え、攻撃者は「練習相手」としてサイバー攻撃をしてくるわけではありません。
つまり、絶対に攻撃を防がなくてはならない状況でしか、実戦経験を積むことができないのです。
当然、サイバー攻撃はいつ行われるかも分からないので、実戦経験を積むための環境は、他の業種よりも遥かに厳しいものと言えるでしょう。

まとめ

今回は、情報セキュリティ10大脅威の内容や、ビジネスメール詐欺の手口などについてご紹介させていただきました。

ビジネスメール詐欺はここ一年ほどで一気に被害件数が増加しているものの、それを防ぐためのセキュリティ人材の育成は進んでいないというのが現状です。

しかし、セキュリティ人材の確保が難しくても、「Barracuda Essentials for Email Security」のようなクラウド型のセキュリティ対策製品を導入することで、情報漏えいのリスクは下げることができます。
サイバー攻撃による情報漏えいを防ぐためにも、ぜひセキュリティサービスの導入を検討してみてはいかがでしょうか。