さあ、やってきました毎年恒例「情報セキュリティ10大脅威」、
2023年版がIPAより発表されています。
個人と組織に分かれて順位が決められていますが、
そのなかの組織に注目して順位を見ていきましょう。
1位:ランサムウェアによる被害
2位:サプライチェーンの弱点を悪用した攻撃
3位:標的型攻撃による機密情報の窃取
4位:内部不正による情報漏えい
5位:テレワーク等のニューノーマルな働き方を狙った攻撃
6位:修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)
7位:ビジネスメール詐欺による金銭被害
8位:脆弱性対策の公開に伴う悪用増加
9位:不注意による情報漏えい等の被害
10位:犯罪のビジネス化(アンダーグラウンドサービス)
ちょっと分け方がアレな気もしますが、
堂々の1位はランサムウェアによる被害でした。
ただ、ランサムウェアは被害の結果であって、
攻撃手法に絞ったランキンキングも欲しいところですね。
目につくのは
ランサムウェアは去年あった病院の事件が記憶に新しいのと、
4位にランクインしている”内部不正による情報漏えい”ですかね。
全体を見るとシステムの脆弱性うんぬんよりも”人”に起因する内容
が目立つような気がします。
相変わらず「人」というのは大きなセキュリティホールである
ということですね。
この人というセキュリティホールのリスクを減らすために
どうしたらいいのでしょうか。
まあ、一つは教育であることは間違いないでしょう。
ただ教育だけでは限界があります。
その教育でカバーしきれない領域を補完するような
システムやしくみがあれば、
もしかしたらけっこういけるかもしれません。
