トピックス

IPAが情報セキュリティ10大脅威2024を発表!
「組織編」のトレンドを解説

PrimeDesk®(IT運用サポートサービス)

公開日アイコン 公開日:2024年02月20日
/ 更新日アイコン 更新日:2024年04月15日

独立行政法人情報処理推進機構(IPA)が「情報セキュリティ10大脅威2024」を発表しました。

近年、企業が直面するセキュリティ脅威は日々進化し、その対応は複雑さを増す一方です。

「情報セキュリティ10大脅威」は、デジタル社会における脅威を俯瞰し、企業が優先すべきセキュリティ課題を示唆してくれます。2024年はどのような脅威が上位にランクインしたのでしょうか。

本コラムではランキングの「組織編」について、脅威のトレンドを解説します。

INDEX

1. 情報セキュリティ10大脅威とは

2. 情報セキュリティ10大脅威2024(組織編)ランキング結果

3. 2024年のセキュリティ脅威のトレンド

4. まとめ

情報セキュリティ10大脅威とは

IPAによって毎年公表されるこのランキングは、前年に発生したセキュリティ脅威を社会的影響力に基づき順位付けしています。個人と組織の両面から検討され、情報セキュリティ分野の研究者や企業の実務担当者など約200人で構成する「10大脅威選考会」の投票を経て決定されます。

サイバー攻撃の複雑化に伴い、頭を悩ませるセキュリティ担当者は少なくありません。

このランキングに掲載されている脅威がすべてを網羅しているわけではありませんが、対策の方向性を決める際の指標の一つとして活用できるものといえるでしょう。

情報セキュリティ10大脅威2024(組織編)ランキング結果

情報セキュリティ10大脅威2024[組織編]
出典:IPA 情報セキュリティ10大脅威2024 を引用して当社作成

組織編のランキングは、実はここ数年大きく変動していません。新たな脅威の追加ではなく、順位の変動のみが発生しています。特にランサムウェア、サプライチェーン攻撃、内部不正による情報漏えいは、過去5年間にわたり上位に位置しています。それぞれの脅威がなぜ重要とされるのかを探りながら、今年のトレンドを深掘りしていきましょう。

2024年のセキュリティ脅威のトレンド

1位「ランサムウェアによる被害」—2021年から4年連続の1位

「ランサムウェアによる被害」が4年連続で1位となりました。ランサムウェアといえば、パソコン上のファイルを暗号化し、その解除と引き換えに身代金を要求する手口が有名です。身代金を支払ったとしても暗号化が解除される保証はなく、二重、三重の恐喝に遭うケースもあります。

警察庁*1によると、令和5年上半期のランサムウェアによる被害件数は103件(前年同期比で9.6%減少)であり、引き続き高い水準となっています。感染経路としてはVPN機器が71%、リモートデスクトップが10%を占め、テレワーク環境の脆弱性や認証の弱さが攻撃に利用されたとみられます。

企業・団体等におけるランサムウェア被害の報告件数の推移(令和5年上半期)
*1出典:警視庁 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について を引用して当社作成

ランサムウェアが数年にわたり猛威を振るっている要因には、RaaS(Ransomware as a Service)と呼ばれる攻撃モデルの普及や、攻撃者の組織化・分業化が挙げられます。これらはランキング10位の「犯罪のビジネス化(アンダーグラウンドサービス)」にも表れています。

また、ランサムウェアと似た手口として、ノーウェアランサムによる被害も報告されています。ランサムウェアの特徴とされるファイルの暗号化を伴わず、データを窃取したうえで脅迫を行うのが特徴です。件数としては令和5年上半期で6件*1と多くありませんが、あわせて覚えておきたい手口です。

2位「サプライチェーンの弱点を悪用した攻撃」—日本企業の40%以上が被害

「サプライチェーンの弱点を悪用した攻撃」が再び2位にランクインしました。サプライチェーンとは、製品・サービスの企画・開発から販売に関わる一連の組織群のことです。サプライチェーン攻撃とは、セキュリティ対策が脆弱な企業を踏み台にサプライチェーンネットワークへ侵入し、情報を窃取したり、ウイルス感染を引き起こしたりする行為を指します。近年では医療機関が標的とされたことでも注目を集めました。

株式会社日経リサーチとトレンドマイクロ株式会社による「サイバーセキュリティに関する調査」*2 によると、自社の委託先、グループ会社、グローバル拠点いずれかがサプライチェーン攻撃を受けたと回答した企業は約43.3%にのぼります。さらに、被害が複数組織を横断することによる原因特定の難しさも深刻な問題となっています。

組織間でのデジタル化が進展する中、企業が単独でセキュリティ対策を行うだけでは、複雑化する脅威への対応が難しくなってきています。サプライチェーンにおける各組織が連携し、一体となったセキュリティ体制を構築することが重要といえるでしょう。

サプライチェーンへのサイバー攻撃
*2出典: 株式会社日経リサーチ トレンドマイクロ株式会社 による合同調査を引用して当社作成
日本企業の4割がサプライチェーン攻撃の被害、セキュリティ統制に不安

トピックス

日本企業の4割がサプライチェーン攻撃の被害、セキュリティ統制に不安

サプライチェーンへのサイバー攻撃の発生状況や被害事例、リスク対策についてご紹介します。

3位「内部不正による情報漏えい等の被害」—脅威は外敵だけにあらず

「内部不正による情報漏えい等の被害」が順位を上げ3位となりました。セキュリティ脅威といえばサイバー攻撃はもちろんのこと、組織内部のリスクも無視できません。内部不正では、従業員や退職者が機密情報を不正に持ち出し、闇サイトに公開したり、金銭のために売買したりするケースがあります。

内部不正による事故は、その被害実態を正確に把握するのが難しいとされています。なぜなら風評被害を警戒し、組織内部で処理されてしまうケースも少なくないからです。

しかしながら、この問題が上位にランクされるには明確な理由があります。社内システムへのアクセス権を有する従業員は、外部の攻撃者に匹敵、あるいはそれを超える脅威を持つと考えられるからです。従業員による不正行為は、大規模な情報漏えいを引き起こし、企業に甚大な経済的損失をもたらす可能性があります。また、国際的な事例としては、海外拠点で開発された最新技術が流出するというケースもあり、経済安全保障の観点からもこの問題は重要です。

まとめ

情報セキュリティの脅威は絶えず進化し、企業や組織が対応するには常に最新の情報と適応力が求められます。ランサムウェアの被害、サプライチェーン攻撃、内部不正など、上位にランクされた脅威は組織のセキュリティ体制において重要な考慮点です。本コラムを通じて、2024年における情報セキュリティの動向についての理解を深め、実際の対策立案に役立てていただけたら幸いです。ランキングの詳細はIPAのホームページでご確認ください。

関連コンテンツ

まるでオレオレ詐欺!?通信機器のなりすまし「ARPスプーフィング」

トピックス

まるでオレオレ詐欺!?通信機器のなりすまし「ARPスプーフィング」

日本企業の4割がサプライチェーン攻撃の被害、セキュリティ統制に不安

トピックス

日本企業の4割がサプライチェーン攻撃の被害、セキュリティ統制に不安

【ChatGPT】情報漏えいを防ぎ、ビジネスで安全に活用するには?

トピックス

【ChatGPT】情報漏えいを防ぎ、ビジネスで安全に活用するには?

この記事をシェアする

一覧に戻る