12月13日の基調講演「情報セキュリティ上の脅威の傾向と注意点について」では、デルタエッジコンサルタント 代表取締役の金子清隆氏が情報セキュリティー上の脅威の傾向を紹介。併せて、注意すべきポイントについて解説した。


　ITの利活用は年々進むものの、その一方で、情報セキュリティーの事故とインシデントはいっこうに減る気配を見せない。情報処理推進機構（IPA）が公表している「情報セキュリティ10大脅威2024（組織編）」のトップ3は、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した脅威」「内部不正による情報漏えい等の被害」。金子氏は「順位が高いことと優先度が高いことは、必ずしもイコールではない」と述べて、組織が置かれている立場や環境を考慮して対応することの重要性を説いた。

　脅威の状況を紹介したうえで、金子氏は「情報セキュリティーの目的は『情報資産の保護』『情報システムの安定稼働』『情報システムの安心、安全な利用』の3点にある」と指摘。「攻撃の糸口はどれも似通っており、基本的な対策が重要であることは長年変わっていない」との見方を示した。

　似通った糸口があるということは、言い換えれば、複数の脅威に対応できる共通の対策があるということ。そのような共通対策の例として、金子氏は7種類の対策を挙げて、個々に説明を加えた。

　基本の「キ」となるのは「パスワードの適切な運用」。初期値のまま使うのではなく、長く複雑なパスワードに変更した上で、使いまわしをしないことが鉄則だ。また、各人がSNSやインターネットの使い方についての「情報リテラシー」を高めるとともに、企業・団体にはコンプライアンス規定の策定と教育訓練の実施が求められている。情報リテラシーとしては、「添付ファイルの開封やリンクのクリックにはリスクがある」こともよく示しておくべきだろう。

　さらに、企業人としては、セキュリティーの事故やインシデントを起こしてしまったときに、上司・責任者・経営層に「報告や連絡」をする義務がある。その組織にCSIRT（Computer Security Incident Response Team）が設置されている場合は、そちらへのエスカレーションも必要だ。組織としては、受けた報告の内容に応じて、IPAなどの公的セキュリティー機関や警察、個人情報保護委員会、金融機関、顧客、取引先などに連絡することになる。「インシデント体制を整備」しておけば、これらの手順も確実にこなせるはずだ。

　このほか、ITの側では「サーバー、クライアント、ネットワークにセキュリティー対策を講じる」だけでなく、「適切なバックアップ運用」を実施することも不可欠。金子氏は「これだけやっておけば安全という対策はないので、自組織にとっての優先順位をつけることが重要だ」と強調した。