保険システムよもやまばなし(第68回)
「情報セキュリティ10大脅威 2024」

2024年を迎え、情報セキュリティの脅威は相変わらず私たちの前に立ちはだかっ
ています。2024年1月24日、IPAから「情報セキュリティ10大脅威 2024」が
発表されました。その内容について紹介します。

IPAの「情報セキュリティ10大脅威」は、情報セキュリティ対策の普及を目的
に2006年から毎年発表しているものです。前年に発生した情報セキュリティ事
故や攻撃の状況などから有識者約200人により選定・決定したものです。脅威
は「組織」向けと「個人」向けのそれぞれについて公表しています。

【組織向けの脅威】 
昨年と変わらぬ脅威として、ランサムウェアやサプライチェーンを狙った攻撃
が上位にランクインしています。これらの脅威は、不正アクセスやデータの盗
難といった直接的な被害に加え、組織の信頼性や業務の継続性を脅かす重大な
リスクを孕んでいます。さらに、「犯罪のビジネス化(アンダーグラウンド
サービス)」が進むことで、一層増加していくことが懸念されます。

●ランサムウェア対策
ランサムウェアに対しては、単にデータを暗号化するだけでなく、データを盗
み出し公開することで脅迫する「ノーウェアランサム」という新手法が現れて
います。これは、情報の機密性を高く評価する業界にとって特に深刻な脅威で
す。ネットワーク機器の脆弱性に対する対策はもはや避けて通れない課題とな
っており、ファイアウォールやVPN機器のセキュリティ対策を強化することが
急務です。

●人に起因する脅威対策
内部不正や不注意による情報漏洩が順位を上げている点も見逃せません。これ
は組織内の人的要因による脅威が増加していることを示しており、ルールや規
制の強化だけでなく、従業員の意識改革や教育、情報機器の適切な管理など、
より実践的な対策が求められます。

【個人向けの脅威】
個人向けの脅威に関しては、IPAが順位表示を廃止し五十音順での紹介に変更
しました。これは、脅威の危険度が個人によって異なり、順位による認識の過
ちを避けるためです。個人情報の窃取や不正ログイン、クレジットカード情報
の不正利用など、私たちの日常生活に密接に関連する脅威が挙げられています。
これらに対しては、個々人のセキュリティ意識の向上と正しい知識の習得が防
御の鍵となります。

【まとめ】
「情報セキュリティ10大脅威 2024」は、我々が直面する現実の脅威とその対
策を示しています。保険業界においては、顧客情報の保護と業務の安定性を確
保するために、これらの脅威に対する正確な理解と適切な対応策の構築が不可
欠です。今後もIPAなどの提供する情報に注目し、継続的な情報セキュリティ
強化の取組が求められます。

K System Planning
島田洋之

ご参考:「情報セキュリティ10大脅威 2024(組織・個人)」は以下の通りです。

●情報セキュリティ10大脅威 2024(組織)
1位 ランサムウェアによる被害
2位 サプライチェーンの弱点を悪用した攻撃
3位 内部不正による情報漏えい等の被害
4位 標的型攻撃による機密情報の窃取
5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位 不注意による情報漏えい等の被害
7位 脆弱性対策情報の公開に伴う悪用増加
8位 ビジネスメール詐欺による金銭被害
9位 テレワーク等のニューノーマルな働き方を狙った攻撃
10位 犯罪のビジネス化(アンダーグラウンドサービス)

●情報セキュリティ10大脅威 2024(個人)
・ インターネット上のサービスからの個人情報の窃取 
・ インターネット上のサービスへの不正ログイン 
・ クレジットカード情報の不正利用 
・ スマホ決済の不正利用 
・ 偽警告によるインターネット詐欺 
・ ネット上の誹謗・中傷・デマ 
・ フィッシングによる個人情報等の詐取 
・ 不正アプリによるスマートフォン利用者への被害 
・ メールやSMS等を使った脅迫・詐欺の手口による金銭要求 
・ ワンクリック請求等の不当請求による金銭被害 

詳細は、「情報セキュリティ10大脅威 2024」(IPA)をご覧ください。
https://www.ipa.go.jp/security/10threats/10threats2024.html