毎年、IPA(独立行政法人情報処理推進機構)から発表される情報セキュリティ10大脅威ですが、今までのいろいろな話やセミナーを見ていると「組織は組織編のみを見ていれば良い」と思われているのではないか?と疑問を持つようになりました。参考までに以下に2024年版を掲載しておきます。
組織編を見てみると「フィッシング」のような個人編では上位に出てくるものが出てきません。しかしながら、テレワークが行われるようになり組織においてクラウドの導入が進むにつれて、クラウドのアカウント情報を窃取されて悪用される事件が出てきていますし、そのアカウント情報窃取のルートとしては「フィッシング」や「偽サポート」がほとんどとなっています。
実は組織編においては「テレワーク等のニューノーマルな働き方を狙った攻撃」に包含されてしまっているので判りにくいのですが、ここには個人編の「インターネット上のサービスからの個人情報の窃取」や「インターネット上のサービスへの不正ログイン」「偽警告によるインターネット詐欺」「フィッシングによる個人情報等の詐取」等が包含されていると考えるべきでしょう。
従来のように「組織は組織編を見て対策しろ」では漏れがちな対策も、個人編も含めて考えると漏れなく対策できるようになります。
また、どちらを見ても「X年連続」というものばかりです。毎年掲載されているのに消えていかないという事は、情報セキュリティ10大脅威を正しく理解し対策をしている組織も個人も多くはないという事を示しています。IPAからは解説も出ていますので、それをしっかり読み込み理解した上で対策を実施していくという事が大切なのだと言えます。自分は(自組織は)被害に遭っていないから「無関係なのだ」ではなく、自分事として考えることが重要です。
今年のサイバーセキュリティ月間の標語は「#サイバーセキュリティは全員参加」でした。全ての人達が自分事として考えることの重要性をアピールしていました。これは永遠に続く課題だと考えます。組織の場合は「物を入れておしまい」ではなく「社員教育をしっかり行う」事の重要性も理解して欲しい所ではあります。