「情報セキュリティ10大脅威 2023」は、2021年に発生した社会的に影響が大きかったと考えられる
情報セキュリティにおける事案から、IPA(※)が脅威候補を選出し、情報セキュリティ分野の研究者、
企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して
審議・投票を行い、決定します。
※IPAとは
独立行政法人情報処理推進機構の略称で、日本のIT国家戦略を技術面・人材面から支えるために
設立された、経済産業省管轄の独立行政法人です。
今期も「情報セキュリティ10大脅威 2023」が公開されましたが、この10大脅威選考会委員として、
当社からiTOC事業部 BzD部 0-WAN の山根康裕が委員会へ参画しました。
ーIPA「情報セキュリティ10大脅威 2023」
https://www.ipa.go.jp/security/vuln/10threats2023.html
選考委員を務めた山根が、自身の注目ポイントについて語りました。
■ニューノーマルな働き方に対応したセキュリティ対策がキモ
私が想定していた脅威の9割はランキングに入っておりました。一つは惜しくも11位でランク外でした。
昨今の動向を想定する限り、組織の項目については以下の脅威が上位に入ってくると想定していました。
① ランサムウェアによる被害
② サプライチェーンの弱点を悪用した攻撃
③ 標的型攻撃による機密情報の搾取
④ 内部不正による情報漏洩
⑤ テレワーク等のニューノーマルな働き方を狙った攻撃
⑥ 犯罪のビジネス化
上記の脅威に関して個々にランクインされておりますが、それぞれ密接な関係にあります。
「①ランサムウェアによる被害」自体も脅威なのですが、
「⑥犯罪のビジネス化」が更にその脅威を助長する傾向にあります。
例えば、有名な「LOCKBIT3.0」は、ランサムウェアを使ったサイバー攻撃を行う組織ですが、
「報奨金制度」や「雇用制度」など、これまでサイバー犯罪とは無縁だった優秀なエンジニアを
高額報酬にて誘い込み、更に強化されたランサムウェアを悪用することや、グローバルに人材を
集め分業化することで言語の壁を越え、より巧みに企業を騙し侵入していきます。
特に暴露型のランサムウェアは暗号化前に情報を搾取され、身代金を支払わなければ情報を
公開されるという企業にとってインパクトの非常に高い手口を使ってきます。
また、以下の3つについても近年は「⑤テレワーク等のニューノーマルな働き方を狙った攻撃」が
更にその脅威を助長する傾向にあります。
② サプライチェーンの弱点を悪用した攻撃
③ 標的型攻撃による機密情報の搾取
④ 内部不正による情報漏洩
ここ数年でテレワーク等の準備が整っていてもセキュリティーが追いついておらず、
その穴をついて、外部からの攻撃を仕掛け侵入する傾向にあります。
また、テレワークですと周りの目を気にする必要が無くなりますので、
プライベートアカウントを活用し、機密情報などを搾取し、情報を外部提供し金品を得るなどの
内部不正による情報漏洩を助長する傾向にあります。
このように、個々の脅威もそれぞれを助長させている傾向にあるため、
個人的には順位形式にしなくても良いのかな?とも考えております。
この辺りを次回の選考委員会では提言してみたいなと考えております。
■委員会へ参画した背景と選考を終えての感想
ある大手企業様へゼロトラストの概念を取り入れたセキュリティーコンサルティング業務を
進めていく中で、IPA選考委員に参加されている委員の方と一緒に業務に携わる機会がございまして、
先方より今期のIPA選考委員として推薦の機会をいただきました。今期初参加となります。
現在10大脅威2023解説書(組織編)のレビューにおいて、一部ですが私のコメントを拾い上げていただき
本紙外の補足資料に反映されておりました。約200名の諸先輩がいらっしゃる中、若輩者の私が
コメントするのは非常に勇気がいりましたが、否定無く意見が反映されて純粋にうれしかったです(笑)
少しでも社会へ貢献できるように、来年も引き続きIPAさんの取り組みに協力できればと思っています。
■APCのゼロトラスト導入アセスメントについて
APCではゼロトラスト導入へ向けて検討されているお客様に対して
「ゼロトラスト導入アセスメントサービス」をご提案しております。
大手企業様からもお引き合いを頂き、現在上場企業2社へのコンサルタント実績もございます。
お客様のご要望に応じたオプションサービス等も取り扱っていますので、
ゼロトラスト導入にあたってお悩みのお客様は是非ともご相談いただけますと幸いです。
<おススメ資料 ~ゼロトラストの概念について知見を深めたい方~>
・ゼロトラスト大全
・NIST SP800-207(PwC Japan社にて日本語翻訳版のダウンロードが可能)
■ゼロトラスト事業の立ち上げメンバーを募集中です
私が所属するチーム”0-WAN(ゼロワン)”ではゼロトラスト事業に取り組み始めており、
そこで一緒に新サービスを立ち上げてくれるネットワークセキュリティエンジニアを募集しています。
ゼロトラスト事業の立ち上げメンバーを募集中!~リーダーの熱い想い~
* * * *
APCでは中途も新卒も積極的に採用中です。お気軽にご連絡ください!
▼採用サイト
▼エンジニアによる技術情報発信
tech blog APC
Qiita