【最新】あなたの会社は大丈夫？2023年のサイバーセキュリティ対策①

年々急増しているサイバー攻撃。

ニュースで取り上げられる機会も多くなり、企業規模を問わず被害は年々拡大しています。

しかし、多くの攻撃がある一方で手法は似通っており、基本的な対策の重要性は変わりません。

昨今のサイバー攻撃の実態や事例から、2023年脅威となるサイバー攻撃と注意すべき点や情報セキュリティ対策の基本などを3回に分けて、わかりやすく解説します。

●2023年の傾向

2022年の事例を元に、IPA(独立行政法人情報処理推進機構)から「情報セキュリティ10大脅威 2023」が公表されています。

この10大脅威をどのように自社に活用するか？が重要になります。

脅威の順位は記載されてますが、自社にとって重要な脅威が何なのか？を考えて、それぞれの対策を落とし込むことが重要です。

●脅威の対策と検討の手順

　(1)自社にとって守るべきものを明らかに

　　・業務プロセスの洗い出し

　　・自社が保有する重要な「情報」や「データ」

　　・現状の「情報」や「データ」を保護するシステムや利用中のサービス

　　・利用している「システム」や「サービス」を構成している「機器」

　(2)自社にとっての脅威を洗い出す

　　・上記の10大脅威の中で当てはまるものがあるか？

　　・10大脅威以外で該当する脅威があるか？

　　・上記を被害額が大きい順に並べ替える

　(3)対策候補を洗い出す

　　・それぞれの脅威に有効と考えられる対策候補を書き出す

　　・複数の脅威に有効な対策もあるので分類する

　　・対策別に表に書き出す

　(4)実施する対策を選択する

　　・対策候補の中から実施状況を整理（実施済み/一部実施/未実施など）

　　・一部実施/未実施の中から、今後実施する対策候補を選択

　　・選択した対策のために必要な予算・時間・機器など洗い出し、実施可否を検討

●情報セキュリティ対策の基本

　攻撃の手法は複雑になっていますが、基本的な攻撃の糸口は不変です。

　情報セキュリティ対策の基本による効果が見込めるので、継続的に対策を行うことで、被害に遭うリスクを低減できると考えられます。

　＜共通対策＞

　・ソフトウェアの脆弱性：ソフトウェアの更新

　・ウィルス感染　　　　：セキュリティソフトの利用

　・パスワード搾取　　　：パスワードの管理・認証の強化

　・設備不備　　　　　　：設定の定期的な見直し

　・誘導　　　　　　　　：脅威・手口を知る機会を設ける

　＜クラウドサービス＞

　・インシデント全般　　：責任範囲の明確化

　・クラウドの停止　　　：代替案の準備

　・クラウドの仕様変更　：設定の見直し

自社の経営層や担当者だけが理解し実行するのでは無く、自社従業員が脅威のリスクを理解することが重要です。

リスク対策教育も重要となりますので、日頃から定期的にセキュリティ教育を進めましょう。

今回は、2023年脅威となるサイバー攻撃「情報セキュリティ10大脅威 2023」と基本的な対策について解説しました。

次回は、「情報セキュリティ10大脅威 2023」の1位～5位の詳細と対策について掲載予定です。

＜出典：独立行政法人 情報処理推進機構/情報セキュリティ10大脅威 2023 https://www.ipa.go.jp/security/10threats/10threats2023.html＞