こんにちは、さとうです。

2020年3月10日にIPAから
「情報セキュリティ 10 大脅威 2020」
の解説書形式の文書が公開されています。

これは、2019年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、有識者により順位付けしたものです。

92



10大脅威は個人むけと組織むけと2つに分類されていますが、ここでは組織むけに着目してみていきたいと思います。

<情報セキュリティ 10大脅威 2020(組織むけ)>

第1位 標的型攻撃による機密情報の窃取
第2位 内部不正による情報漏えい
第3位 ビジネスメール詐欺による金銭被害
第4位 サプライチェーンの弱点を悪用した攻撃
第5位 ランサムウェアによる被害
第6位 予期せぬIT基盤の障害に伴う業務停止
第7位 不注意による情報漏えい(規則は遵守)
第8位 インターネット上のサービスからの個人情報の窃取
第9位 IoT機器の不正利用
第10位 サービス妨害攻撃によるサービスの停止



これらの10大脅威は、どのような対策/対応が必要かも書かれています。

<対策/対応(一部)-組織むけ>

第1位 標的型攻撃による機密情報の窃取
■ 被害の予防/対応力の向上
 ・情報の管理とルール策定
 ・サイバー攻撃に関する継続的な情報収集と情報共有
 ・セキュリティ教育の実施
 ・インシデント発生時の訓練の実施
 ・統合運用管理ツール等によるセキュリティ対策状況の把握
 ・取引先のセキュリティ対策実施状況の確認
 ・セキュアなシステム設計
 ・ネットワーク分離
 ・重要サーバーの要塞化(アクセス制御、暗号化等)
 ・海外拠点等も含めたセキュリティ対策の向上
■被害の早期検知
 ・ネットワーク監視、防御
 ・エンドポイントの監視、防御
■ 被害を受けた後の対応
 ・CSIRT の運用によるインシデント対応
 ・影響調査および原因の追究、対策の強化
 ・関係者、関係機関への連絡

第2位 内部不正による情報漏えい
■ 被害の予防
 ・基本方針の策定
 ・重要資産の把握、体制の整備
 ・重要情報の管理、保護
 ・物理的管理の実施
 ・人的管理及びコンプライアンス教育の徹底
■ 被害の早期検知
 ・システム操作履歴の監視
■ 被害を受けた後の対応
 ・関係者、関係機関への連絡
 ・影響調査および原因の追究、対策の強化
 ・内部不正者に対する適切な処罰実施

第3位 ビジネスメール詐欺による金銭被害
■ 被害の予防(被害に備えた対策含む)
 ・ガバナンスが機能する業務フローの構築
 ・メールに電子署名を付与(S/MIME)
 ・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)
 ・メール以外の方法で事実確認
 ・判断を急がせるメールに注意
■ 被害を受けた後の対応
 ・CSIRT への連絡
 ・警察に相談
 ・踏み台や詐称されている組織への連絡
 ・影響調査および原因の追究、対策の強化

第4位 サプライチェーンの弱点を悪用した攻撃
■ 被害の予防
 ・業務委託や情報管理における規則の徹底
 ・信頼できる委託先組織の選定
 ・委託先からの納品物の検証
 ・委託先組織の管理
 ・公的機関が公開しているガイドラインの活用
■ 被害を受けた後の対応
 ・影響調査および原因の追究、対策の強化
 ・被害への補償
 ・(委託先から)委託元への連絡

第5位 ランサムウェアによる被害
■ 被害の予防(BCM 含む)
 ・迅速かつ継続的に対応できる体制(CSIRT等)の構築
 ・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)
 ・受信メールやウェブサイトの十分な確認
 ・添付ファイルやリンクを安易にクリックしない
 ・不審なソフトウェアを実行しない
 ・サポートの切れた OS の利用停止、移行
 ・フィルタリングツール(メール、ウェブ)の活用
 ・ネットワーク分離
 ・共有サーバー等へのアクセス権の最小化
 ・バックアップの取得
■ 被害を受けた後の対応
 ・CSIRT への連絡
 ・バックアップによる復旧
 ・復号ツールの活用
 ・影響調査および原因の追究、対策の強化

第6位 予期せぬIT基盤の障害に伴う業務停止
■ 被害の予防(被害に備えた対策を含む)
 ・BCM の実践(BCP 策定と運用)
 ・可用性の確保と維持(システム設計や監視)
 ・データバックアップ(復旧対策)
 ・契約やSLA 等を確認
 ・被害を想定し IT 基盤側との事前の連携確認
■ 被害を受けた後の対応
 ・BCP に従った対応

第7位 不注意による情報漏えい(規則は遵守)
■ 情報リテラシーや情報モラルの向上
 ・従業員のセキュリティ意識教育
 ・組織規程および確認プロセスの確立
■ 被害の予防(被害に備えた対策含む)
 ・確認プロセスに基づく運用
 ・情報の保護(暗号化、認証)
 ・外部に持ち出す情報や端末の制限
 ・メール誤送信対策等の導入
 ・業務用携帯端末の紛失対策機能の有効化
■ 被害を受けた後の対応
 ・被害拡大や二次被害要因の排除
 ・漏えいした内容や発生原因等の公表
 ・関係者、関係機関への連絡

第8位 インターネット上のサービスからの個人情報の窃取
■ 被害の予防
 ・「情報セキュリティ対策の基本」を実施(ソフトウェアの更新、セキュリティソフトの利用、パスワードの管理・認証の強化、設定の見直し、脅威・手口を知る)
 ・セキュリティ対策の予算・体制の確保
 ・セキュアなインターネット上のサービス構築
 ・セキュア開発ライフサイクルの実践
 ・セキュリティバイデザインの実施
 ・セキュリティ診断(ウェブアプリケーション診断、プラットフォーム診断等)の実施
 ・WAF、IDS/IPS の導入
 ・利用者に対するセキュリティ機能の提供
 ・ミドルウェアやライブラリ利用状況の把握
■ 被害の早期検知
 ・適切なログの取得と継続的な監視
■ 被害を受けた後の対応
 ・CSIRT への連絡
 ・セキュリティ専門企業への調査依頼
 ・影響調査及び原因の追究、対策の強化
 ・情報漏えいの被害者に対するすみやかな連絡と補償
 ・漏えいした内容や発生原因等の公表
 ・関係者、関係機関への連絡

第9位 IoT機器の不正利用
■ 被害の予防
 ・セキュア開発ライフサイクルの実践
 ・セキュリティバイデザインの実施
 ・初期パスワード変更の強制化
 ・脆弱性の解消(セキュア・プログラミング、脆弱性検査、ソースコード検査、ファジング等)
 ・ソフトウェア更新の自動化
 ・分かりやすい取扱説明書の作成
 ・迅速なセキュリティパッチの提供
 ・利用者にとって不要な機能の無効化
 ・アクセス範囲の制限
 ・セキュリティに配慮したデフォルト設定
 ・利用者への適切な管理の呼びかけ
 ・ソフトウェアサポート期間の明確化
 ・セキュリティパッチが公開されたら迅速に更新(自動更新機能を有効にする)
 ・廃棄時は初期化
 ・機器の管理画面や管理ポートに対する適切なアクセス制限
 ・不要なサービスの停止(ポートを閉じる)
■ 被害を受けた後の対応
 ・CSIRT への連絡
 ・IoT 機器の電源オフ
 ・IoT 機器の初期化後、「被害の予防」を実施
 ・影響調査および原因の追究、対策の強化

第10位 サービス妨害攻撃によるサービスの停止
■ 被害の予防
 ・DDoS 攻撃の影響を緩和するISPやCDN等のサービスの利用
 ・WAF の導入
 ・システムの冗長化等の軽減策
 ・ネットワークの冗長化
 ・ウェブサイト停止時の代替サーバーの用意と告知手段の整備
■ 被害を受けた後の対応
 ・CSIRT への連絡
 ・通信制御(攻撃元 IP アドレスからの通信をブロック等)
 ・利用者への状況の告知
 ・影響調査および原因の追究

セキュリティ脅威が年々高度化、複雑化していく現状では、予防よりも検知や対応の方に注力するほうが現実的なケースが増えつつあると考えられます。
本書は、後半に各脅威と、対策(防止、検知、対応)が整理されている表も掲載されており、自組織の対応方針を検討するのに便利なツールとなっています。

さとう