皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、2年数ヵ月ぶりに大幅改訂された『中小企業の情報セキュリティ対策ガイドライン（第3版）』がIPA（独立行政法人情報処理推進機構）から公開されましたので、それをお伝えします。

中小企業の情報セキュリティ対策ガイドライン第3版

＜概要＞

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。
　第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです。
　例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
　中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。 また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。
　本ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

このように、昨今の『サイバー攻撃の巧妙化』や『中小企業などにおけるIT環境の変化』などを受け、『経営者が認識し実施すべき指針』、『社内において対策を実施する際の手順や手法』などがわかりやすくまとめられています。

改めて確認し直す良い機会でもありますので、是非読んでみて下さい。

『中小企業の情報セキュリティ対策ガイドライン第3版（全62ページ、7.00MB） /PDF』

・付録1：『情報セキュリティ5か条（全2ページ、726KB） /PDF』

・付録2：『情報セキュリティ基本方針（サンプル）（全1ページ、34KB） /Word』

・付録3：『5分でできる！情報セキュリティ自社診断（全8ページ、3.9MB） /PDF』

・付録4：『情報セキュリティハンドブック（ひな型）（全10ページ、212KB） /PowerPoint』

・付録5：『情報セキュリティ関連規程（サンプル）（全50ページ、171KB） /Word』

・付録6：『クラウドサービス安全利用の手引き（全8ページ、2.8MB） /PDF』

・付録7：『リスク分析シート（全5シート、92KB） /Excel』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年も『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2019』を公表しましたのでご紹介します。

これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2019

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：ビジネスメール詐欺による被害（昨年順位：3位）

3位：ランサムウェアによる被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃の高まり（初）

5位：内部不正による情報漏えい（昨年順位：8位）

6位：サービス妨害攻撃によるサービスの停止（昨年順位：9位）

7位：インターネットサービスからの個人情報の窃取（昨年順位：6位）

8位：IoT機器の脆弱性の顕在化（昨年順位：7位）

9位：脆弱性対策情報の公開に伴う悪用増加（昨年順位：4位）

10位：不注意による情報漏えい（昨年順位：12位）

＜個人の10大脅威＞

1位：クレジットカード情報の不正利用（昨年順位：1位*1）

1位：フィッシングによる個人情報等の詐取（昨年順位：1位）

3位：不正アプリによるスマートフォン利用者への被害（昨年順位：4位）

4位：メール等を使った脅迫・詐欺の手口による金銭要求（初）

5位：ネット上の誹謗・中傷・デマ（昨年順位：3位）

6位：偽警告によるインターネット詐欺（昨年順位：10位）

7位：インターネットバンキングの不正利用（昨年順位：1位）

8位：インターネットサービスへの不正ログイン（昨年順位：5位）

9位：ランサムウェアによる被害（昨年順位：2位）

10位：IoT 機器の不適切な管理（昨年順位：9位）

（*1）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の『インターネットバンキングやクレジットカード情報等の不正利用』を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。

以上のような内容で公表されています。

また、今後の脅威に対する懸念として、AI（人工知能）を用いた新たなサイバー攻撃に対しても触れられています。

参考資料：『情報セキュリティ10大脅威 2019（PDFファイル：3.98MB）*2』

（*2）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月末、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2018』を公表しましたのでご紹介します。

これは、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2018

＜組織の10大脅威＞

1位：標的型攻撃による情報流出（昨年順位：1位）

2位：ランサムウェアによる被害（昨年順位：2位）

3位：ビジネスメール詐欺（初）（昨年順位：ランク外）

4位：脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加（昨年順位：ランク外）

5位：セキュリティ人材の不足（初）（昨年順位：ランク外）

6位：ウェブサービスからの個人情報の窃取（昨年順位：3位）

7位：IoT機器の脆弱性の顕在化（昨年順位：8位）

8位：内部不正による情報漏えい（昨年順位：5位）

9位：サービス妨害攻撃によるサービスの停止（昨年順位：4位）

10位：犯罪のビジネス化（アンダーグラウンドサービス）（昨年順位：9位）

＜個人の10大脅威＞

1位：インターネットバンキングやクレジットカード情報の不正利用（昨年順位：1位）

2位：ランサムウェアによる被害（昨年順位：2位）

3位：ネット上の誹謗・中傷（昨年順位：7位）

4位：スマートフォンやスマートフォンアプリを狙った攻撃の可能性（昨年順位：3位）

5位：ウェブサービスへの不正ログイン（昨年順位：4位）

6位：ウェブサービスからの個人情報の窃取（昨年順位：6位）

7位：情報モラル欠如に伴う犯罪の低年齢化（昨年順位：8位）

8位：ワンクリック請求等の不当請求（昨年順位：5位）

9位：IoT機器の不適切な管理（昨年順位：10位）

10位：偽警告（初）（昨年順位：ランク外）

以上のような内容で公表されています。

これらの多くは、『組織』、『個人』、ともに新たな出現による脅威ではなく、引き続きこれらの脅威への対策を行っておくことが重要とされています。

また、組織においては『セキュリティ人材の不足』は大きな課題であるとも言えます。