30 Jan 2022
IPAから、2021年に発生した情報をもとに情報セキュリティ事故や攻撃の状況等から脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーで構成する「10大脅威選考会」の投票を経て決定した「情報セキュリティ10大脅威 2022」が公開されました。
その中から、組織向けの脅威の抜粋が下記です。
情報セキュリティ10大脅威 2022(組織)
ランサムウェア による被害 [1]- 標的型攻撃による機密情報の窃取 [2]
- サプライチェーンの弱点を悪用した攻撃 [4]
- テレワーク等のニューノーマルな働き方を狙った攻撃 [3]
- 内部不正による情報漏えい [6]
- 脆弱性対策情報の公開に伴う悪用増加 [10]
- 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) [NEW]
- ビジネスメール詐欺による金銭被害 [5]
- 予期せぬ IT 基盤の障害に伴う業務停止 [7]
- 不注意による情報漏えい等の被害 [9]
*[]内は、昨年の順位
(出典: IPA 情報セキュリティ10大脅威 2022)
(出典: IPA 情報セキュリティ10大脅威 2022)
前年同様、
今回は、2021年12月に大きな騒ぎとなったJava用のログ出力ライブラリである「Apache Log4j」の脆弱性対策情報が影響したのか、6位の脆弱性対策情報の公開に伴う悪用増加とは別に、新たに7位に修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)がランクインしています。こうしてゼロデイ攻撃の被害が大きくなると、脆弱性の対策はもちろんですが、その脅威に対する迅速な対応がとても重要であることを思い知らされる事件でした。
情報セキュリティ10大脅威を見れば、その年代の社会的影響が大きかったセキュリティのトピックスをランキング形式で振り返ることができます。それは正に、今後企業や組織がどの脅威に対して、どれくらいの優先度で対策を行うべきかの参考になります。