コインチェック社からのXEM流出事件発生から間もない2018/1/30、情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2018」を発表しました。
個人に対する脅威の顔ぶれは昨年までと大差はありませんが、組織の脅威にはランク外から新たな脅威が3件、しかも上位に入ってきました。
組織に対する新たな脅威は以下の通り。
3位:ビジネスメール詐欺
4位:脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
5位:セキュリティ人材の不足
4、5位は少し目新しいですね。
脆弱性情報はユーザーに対策を呼び掛けるためにネットを中心に公開されます。主にソフトウェアのアップデートで対応するのですが、情報公開からアップデートが実行されるまでのタイムラグを悪用されて攻撃されてしまうのです。
一般ユーザーはあまり意識せずともアップデートを行っていると思いますので、「なぜ」と思うかもしれません。
でも、企業内のサーバーやパソコンは、基幹業務システムなどへの影響を検証してからアップデートを行うため、脆弱性情報が発表されてから実際に実施されるまでのタイムラグが大きいのです。
人材不足が出てきたのも意外でした。確かにIT業界は全体的に人材不足と言われていますが、今までの脅威は技術的なもの人の行動に関係する内容が多かったので、「おお、そう来たか」と思いました。情報セキュリティマネジメント試験などを広めるための施策の一つなのかもしれないと、ちょっと穿った見方をしてしまいました。でも、攻撃がどんどん巧妙になり、対策も一筋縄ではいかなくなっていることから、専門知識を持った人材の不足は、特に企業にとっては、今後大きな脅威となりかねませんね。
パソコンやスマホに限らず、いろいろなものがインターネットにつながっている現在、情報セキュリティに関しては他人事では済まされない時代になっていると思います。
昨今、大企業からの情報流出などが問題になっていますが、個人や中小企業のPCの脆弱性を突かれて乗っ取られ、そこを踏み台に大企業が攻撃されることもあります。
ウィルス対策ソフトの導入、脆弱性対策のアップデートをタイムリーに行う、不用意にメールの添付ファイルを開けないなど、最低限の対策はうっておきましょう!簡易診断のご希望があれば承ります。