情報セキュリティ10大脅威 2024が発表
毎年恒例のIPA情報セキュリティ10大脅威が2024/01/24に公開されました。
https://www.ipa.go.jp/pressrelease/2023/press20240124.html (プレスリリース)
https://www.ipa.go.jp/security/10threats/10threats2024.html
今年の発表で目を引くのは個人向けの発表で、
「個人の10大脅威の順位は掲載せず、五十音順で並べています。これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。」
としている事です。それを言うなら組織向けも同じなんじゃないかなあと思うのですが、まあ何か事情があるのでしょう。
詳細の解説書などは2月下旬以降に公開されるとのことで、今回は項目だけが先行して発表されているわけですが、若干の上下がある程度で、ほぼ例年と変わりないです。
セキュリティ対策の本質は最近数年変わっていないわけですが、項目名こそ変わらずとも手口は更新されており、それらへの対応といたちごっこになっているのが現状でしょう。
ランサムウェア被害が相変わらずの9年連続9回目のトップで、なかなか落ち着く様子は見られません。
プレスリリースによると、「組織」向けで順位を上げているのは、「内部不正による情報漏えい等の被害」と「不注意による情報漏えい等の被害」で、
これらは、組織内の「人」が原因となる脅威としています。
2023年でこれらに該当しそうなインシデントを思い返すと、10月に公表されたNTTビジネスソリューションズの情報漏えい事件や、全銀ネットの障害あたりは記憶に新しいところです。
保守端末にデータがダウンロードできるようになっており、さらには外部記憶装置が接続可能であった。
それらの不正行為をタイムリーに検知できず、ログなどの定期チェックが不十分であったなどの振り返りがありました。
セキュリティーの教科書にも出てきそうな典型例と思いますが、実際に徹底出来ている現場は少ない事を裏付けているのではないでしょうか。