情報セキュリティ10大脅威

朝日村在住の麻生です。QMS/ISMS推進部署で仕事をしている企業内診断士です。皆さんは「情報セキュリティ10大脅威」をご存知でしょうか。情報処理推進機構(IPA)が選出した脅威候補に対し、専門家からなる「10大脅威選考会」が投票して、個人と組織それぞれにおける脅威の順位を決定しています。今年2019年版は3月1日に公開されました。
https://www.ipa.go.jp/security/vuln/10threats2019.html

組織の10大脅威は次のようになっています。
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

今年新たにランキングしたのは4位の「サプライチェーンの弱点を悪用した攻撃」です。解説を読むと主に業務委託先からの情報流出を意味しています。いくら自社の情報セキュリティを強化しても、サプライチェーン上の委託先組織の情報セキュリティ対策に問題があると、そこから被害が発生するというものです。

委託元組織の立場でこれを予防するためには、信頼のおける業務委託先を選定すること、契約によって責任・賠償の取り決めを合意することなどが必要になります。委託先の情報管理の状態に対して、ルール・規則の書面確認や現場の監査も有効な手段となります。

包括的に情報セキュリティ対策を実施するための手引きとして、経済産業省が公開している「サイバーセキュリティ経営ガイドライン」が参考になるでしょう。経営者が認識する必要がある「経営者が参考にすべき3原則」とサイバーセキュリティ対策責任者に指示すべき「サイバーセキュリティ経営の重要10項目」から構成されています。
https://www.meti.go.jp/policy/netsecurity/mng_guide.html

さらに自社の情報セキュリティのレベルを上げるには、国際規格ISO/IEC27001に基づくISMS(情報セキュリティマネジメントシステム)の構築も視野に入れるとよいと思います。この規格の附属書(もしくはISO/IEC27002)には、取るべき管理策がある程度網羅的に整理されています。

攻撃者があの手この手で企業や個人を狙う昨今、すべてに万全な状態を維持することは至難かもしれません。しかし情報セキュリティの基本を守ることによって高い効果を得られることも事実です。これらのガイドラインや規格を参考に、出来るところから取り組んで下さい。

関連記事

  1. デフレ脳からの脱却
  2. PMIとは-M&A成功の鍵-
  3. 「ありがとう」の反対は?
  4. 自然から学べるもの
  5. 志を掲げよう!
  6. 二足のわらじ (前編)
  7. 校閲の目を養う
  8. もうシェイクシャックには行きましたか?スゴイですよ!
PAGE TOP