基調講演「情報セキュリティ10大脅威2024組織編」には独立行政法人情報処理推進機構（IPA）セキュリティセンター対処調整部脆弱性対策グループ・主幹の篠塚耕一氏が登壇。組織における情報セキュリティー脅威の種類と影響のほか、従業員がとるべき対策について講演した。


　前年に発生した情報セキュリティー事故の分析などを載せたIPAの「情報セキュリティ10大脅威」は、一般企業の経営者やエンジニアにも広く読まれている。篠塚氏は「トップ10に毎年同じような脅威が並んでいるのは、組織できちんと対応ができていないことを示している」と指摘した上で、2023年に目立った脅威として「ランサムウェアによる被害」「テレワークなどのニューノーマルな働き方を狙った攻撃」「内部不正による情報漏えいなどの被害」の三つをピックアップした。

　ランサムウェアはデータを暗号化してしまうマルウェアで、復号鍵を高額で購入するように脅迫するのが特徴。23年には、港湾コンテナターミナルで物流が停止したり、SIerのサーバーが暗号化されてクラウドサービスが停止したり、といった事件が発生している。主な感染経路は、サーバーやPCへの不正アクセス、Webサイトやメールの悪用。対策としてネットワーク機器の脆弱性除去、ユーザー認証の強化、セキュリティー製品の導入、バックアップの定期作成などが有効だ。

　また、テレワークの普及に伴ってリモート接続やWeb会議が増え、私物デバイスを業務に使用することも多くなっている。その結果、増えているのがリモート接続機器からの不正アクセスや私物デバイスからのマルウェアの持ち込みだ。警察庁の発表によれば、ランサムウェアの侵入経路の63％はVPN機器、18％はリモートデスクトップ。したがって、リモート接続まわりの脆弱性をしっかり取り除くことが、この種の情報セキュリティー脅威への対策として重要だ。また、私物デバイスの利用に対するルールを各組織で確立することも求められる。

　一方で、内部不正による情報漏えいは従業員の犯罪行為が直接の原因になっている点に特徴がある。手口として多いのは、USBメモリーなどの記憶媒体を利用した持ち出し。23年には、サーバー上にある約928万件の顧客情報を持ち出して名簿業者に販売した事件や、転職に際して持ち出した名刺情報を転職先で使った事件などが報告されている。対策としては、情報へのアクセス権を適切に設定することや就業規則の見直しなどが有効だ。

　篠塚氏は「ソフトウェアの更新、セキュリティーソフトの利用、ユーザー認証の強化といった基本的な対策を徹底することが重要」と訴えた。