自社を脅かす脅威とは
セキュリティにおいて、資産を脅かすものを脅威と言います。
Point① 脅威とは
資産を脅かすものを脅威といいます。資産が各社によって変わるので、脅威も会社によって変わります。自社にとっての脅威とは何かを考えること、把握することが対策の一歩となります。
脅威の例
| 脅威の種類 | 例 | |
|---|---|---|
| 環境 | 自然災害 | 火災・台風・地震・洪水・感染症、など |
| 障害・故障 | システム障害・機器障害・ネットワーク障害、など | |
| 人間 | 偶発的 | 間違い操作・誤削除・認識違い、など |
| 計画的※1 | システムハッキング・改ざん・盗聴・覗き見、など | |
※1:人間が行う計画的な脅威として『攻撃』があげらます。技術的に作成されたものやネットワーク上で行われるものを、技術的脅威と表現する場合もあります。
出典:独立行政法人情報処理推進機構(IPA)情報セキュリティ10 大脅威(各年代)
https://www.ipa.go.jp/security/vuln/10threats2022.html
総務省 「国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_risk.html
など、複数の資料をもとに作成
※脅威の把握・検討についてはDay5に行います。
One point
独立行政法人情報処理推進機構(IPA)では、情報セキュリティ10 大脅威を発表しています。順位が高いか低いかに関わらず、自身または組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取りましょう。ランク下位の脅威だから対策を行わなくて良いということではありません。しっかりと対策を行い、脅威が顕在化しないように取り組みましょう。
| 昨年 順位 |
個人 | 順位 | 組織 | 昨年 順位 |
|---|---|---|---|---|
| 2位 | フィッシングによる個人情報等の詐取 | 1位 | ランサムウェアによる被害 | 1位 |
| 3位 | ネット上の誹謗・中傷・デマ | 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 5位 | クレジットカード情報の不正利用 | 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 1位 | スマホ決済の不正利用 | 5位 | 内部不正による情報漏えい | 6位 |
| 8位 | 偽警告によるインターネット詐欺 | 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 9位 | 不正アプリによるスマートフォン利用者への被害 | 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | NEW |
| 7位 | インターネット上のサービスからの個人情報の窃取 | 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 6位 | インターネットバンキングの不正利用 | 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 | 不注意による情報漏えい等の被害 | 9位 |
出典:独立行政法人情報処理推進機構(IPA)
情報セキュリティ10 大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html