セキュリティニュースをサクッと解説 2024/01/22 - 01/28

CISOアドバイザー

1/29(月) 11:04

一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■IPA 2024版 10大脅威を発表

IPA（情報処理推進機構）は2024年1月24日、「情報セキュリティ10大脅威 2024」を発表しました。

2023年に社会にインパクトを与えた脅威として1位に選ばれたのは「ランサムウェアによる被害」でした。2位には「サプライチェーンの弱点を悪用した攻撃」、3位に「内部不正による情報漏えい等の被害」が続きます。

そして、今回印象的だったのは、これまで毎回トップ3に入っていた「標的型攻撃による機密情報の搾取」が四位に転落したという点です。

標的型攻撃の脅威が低下したというよりは、標的型攻撃よりも「サプライチェーンの弱点を悪用した攻撃」、「内部不正による情報漏えい等の被害」の方が重要な脅威であると考えた有識者が多かったと考える方が適切だと、筆者は考えています。

過去10年の10大脅威の推移を掲載しておりますので、10年前と同じ考え方、対策では現代の脅威には対応出来ないと考える参考にして頂ければ幸いです。

■NRIセキュア「企業における情報セキュリティ実態調査2023」を発表

NRIセキュアテクノロジーズは1月25日、日本、アメリカ(米)、オーストラリア(豪)3カ国の企業2,783社(日本1,657社/米540社/豪586社)を対象とした「企業における情報セキュリティ実態調査2023」を発表しました。

本レポートによると、セキュリティ人材が不足していると回答した企業の割合は日本では約9割の企業が不足と回答しているのに対して、アメリカでは47.8%、オーストラリアでは50.2%が"充足している"と回答しており、日本のセキュリティ人材不足が浮き彫りになっている状況がうかがえます。

このようなセキュリティ人材を補うための施策として、セキュリティベンダーへの業務委託を強化する企業動向がトップであり、2022年と比較して4.5%増加し「セキュリティ業務の外部依存」に拍車をかける傾向にあることがわかります。

また、セキュリティ人材を組織的に重要視しているか?を推測する尺度として、組織内にCISOを設置しているか?は重要な点ですが、日本企業におけるCISO設置割合は約4割であり、アメリカは95.5%、オーストラリアは97.4%でありほぼ必須とも言える状況と比較すると、経営におけるセキュリティの重要性は欧米と比較して遅れていると言えるでしょう。

これらの傾向から日本企業では内部で専門的な人材を確保するより、外部に依存する傾向にあることが読み取れますが、「ランサムウェア対策」等の外部脅威に対しては、一時的な効果はあると考えられるものの、社内の事情を良く理解している人材でないと対策の難しい「内部不正対策」という観点では、ますます「脆弱」になっていくと推測されます。

■英国NCSC、AIを悪用するソーシャルエンジニアリング攻撃に警戒を呼び掛け

英国の国家サイバーセキュリティセンター（NCSC）は、AIがもたらす脅威についてまとめたレポート"The near-term impact of AI on the cyber threat"を発表しました。本レポートでは、悪意のある攻撃者はすでにAIを悪用しており、ランサムウェアを含む脅威の量と影響は今後2年間で増加すると警告しています。

また、現時点でのAIの脅威は主に、ソーシャルエンジニアリングにおける攻撃者の能力向上であると指摘しています。生成AI(GenAI)を使用すると、フィッシングを明らかにする翻訳、スペル、文法上の間違いをせずに、罠にかけるための文章の作成など、被害者との説得力のある対話を可能にすることがすでに可能になっています。AIが進化し、普及率が高まるにつれて、この割合は今後2年間でさらに増加する可能性が高くなると述べています。