IPA（情報処理推進機構）は2024年1月24日、「情報セキュリティ10大脅威 2024」を発表しました。

10大脅威はIPAが2004年から毎年発行している日本の脅威動向をまとめたものです。前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定されます。

■2024年の組織における10大脅威

2023年に社会にインパクトを与えた脅威として1位に選ばれたのは「ランサムウェアによる被害」でした。2位には「サプライチェーンの弱点を悪用した攻撃」、3位に「内部不正による情報漏えい等の被害」が続きます。

■コロナ前、コロナ後で見た脅威の変化

IPA10大脅威の情報をコロナ前、コロナ後で比較してみると、コロナによって企業を取り巻く環境や脅威が大きく変化したことが読み取れます。

・コロナ後の10大脅威の推移

下図にコロナ後の2021年版から2024版までの10大脅威の推移を示します。2024年に登録されている脅威を基準として色を付け、その他の年に同じ脅威名が記載されている場合には2024年の色と同じ色で塗りつぶしています。

コロナ後の推移を見ると、ランサムウェアによる被害が不動の一位となっていることがわかります。

今回2位と3位となったサプライチェーンの脅威と内部不正は2021年から順調に順位を上げてきていることがわかります。

一方で2021年に3位となっていた"テレワーク等のニューノーマルな働き方を狙った攻撃"は年を追う毎に順位を下げ、今年は9位となっていました。これはコロナに対する規制の変化や、テレワーク対応等による環境変化に企業側が一通り対策を終えたことが理由と考えられます。

・コロナ前の10大脅威の推移

次にコロナ前の10大脅威について2017年から2020年の推移を見てみましょう。コロナ後では不動の一位だったランサムウェアがコロナ前はむしろ下落傾向であったことが読み取れます。

また、2017年を見るとほぼ白色となっており2024年と脅威の傾向が大きく違っていたことが理解ります。2017年もランサムウェアが上位に位置づけられていますが、3位以下を見ると公開ウェブサーバー等の脅威が上位に位置づけられており、コロナ前の日本企業のシステムはまだまだクラウドが進んでおらず、データセンターやオンプレミスによるシステム構築が主流であったことがうかがえます。

■10年前の10大脅威との比較

最後に10年前の2014年と2024年を比較してみましょう。2014年は標的型メールが一位となっておりこれが2024年にも掲載されている唯一の共通の脅威となっています。ランサムウェアも記載されておらず、2024年の脅威と全く異なる顔ぶれになっていたことがわかります。

この比較から10年前の基準や、考え方では現代の脅威に対応出来ないことがうかがえます。

■10年前の常識や対策では今の脅威に対応出来ない

皆様におかれましても、10年という年月を考えれば自社のIT環境や、取引先との情報共有の仕方など大きく変化しているのではないでしょうか。

IPA10大脅威の推移を見ても、この10年の間にデータセンター中心のシステム、出社することが当たり前の働き方から、クラウドの活用やテレワーク等で在宅と出社のハイブリッドな働き方へと移行してきている状況がうかがえます。

それにも係らず、10年前と同様の考え方で"危険なWebサイトへのURLフィルタリングやパソコンにアンチウィルス対策ソフトを入れていれば大丈夫。うちみたいな小さな企業はランサムウェアの被害になんか遭わない"と考えていれば、大きな被害にあい、取引先にまで迷惑をかけてしまう事態に発展するリスクもあります。

「時代は変わった、脅威も変わった」ことを十分に理解し、現代の脅威にあったセキュリティ対策を検討、実施することを推奨します。