今年もIPAから情報セキュリティ10大脅威が発表されました!
↓
(IPA: https://www.ipa.go.jp/security/10threats/10threats2025.html)
毎年それほど内容は変わらないのですが、昨年と比べてみましょう!
↓
1位のランサムと2位のサプライチェーンは同じですね。
1位のランサムについては10年連続ですが納得。
2024年はKADOKAWAやイセトーなど、
センセーショナルな事故が発生しましたし、
組織にとっての一番の脅威であることは間違いない!(;°-°;)))
2位のサプライチェーンのタイトルがちょっと変わりましたね。
「サプライチェーンや委託先を狙った攻撃」ということで、「委託先」が明記されました。
これもイセトーの件がすぐに思い浮かびますが、
委託先に対するサイバー攻撃は委託する側にとっても大きなリスクです。
あとは「サプライチェーン」の中には当然クラウドサービスも含まれるので、
業務上利用しているクラウドサービスに関してランサムや漏洩事故が発生すると、
その影響を受けることになります。
昨年個人情報保護委員会が行なった注意喚起の中でも、
委託先の監督やクラウドサービスに関するものが複数ありました。
↓
|
公表日 |
内容 |
|
令和6年1月24日 |
|
|
令和6年3月25日 |
|
|
令和6年12月17日 |
人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について |
3位の「システムの脆弱性を突いた攻撃」というのは、
昨年5位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」を7位の「脆弱性対策情報の公開に伴う悪用増加」に統合したものらしいです。
このランキングの脅威名の書き方、難しいですよね。
いろんな要素が入っていて、一つの事例が複数の脅威に関連しているので、
今更ながらランキングをつけるのってなかなか無理がありますね(笑)
とはいえ、現状の大きな脅威が一覧化されているのはわかりやすいですし、
私もかなりいろんな場面で使わせてもらってます。
ところで、今回新しく登場した脅威があります。
第7位の「地政学的リスクに起因するサイバー攻撃」。
これは注目です!
「地政学的リスク」とは、地理的条件に基づいた国や地域の政治や軍事などに関わるリスクのことで、つい最近も、警察庁と内閣サイバーセキュリティセンターが、日本国内の組織や個人を標的としたサイバー攻撃グループ「MirrorFace」による攻撃について警戒を呼びかけていました。
MirrorFace によるサイバー攻撃について(注意喚起)(警察庁、内閣サイバーセキュリティセンター)
※この資料、サイバー攻撃に対する具体的な対策についてかなり詳細に記載されていて、特にシステム管理者は要チェックです。
以前のblogでも書きましたが、
↓
(JNSA セキュリティのプロが選ぶ!2024セキュリティ十大ニュース)
近々「能動的サイバー防御」法案が提出され、成立が想定されていますし、国としての対策(検知・防御)が急務です!
地政学的リスクは今後もっと上位に上がってくる可能性がありますね。
ということで、「情報セキュリティ 10大脅威2025」速報でした。
解説編は2月末に公開予定だそうです!!
