公開日：2024年10月17日

【2024年最新】情報セキュリティ最新動向5選！効果的な対応についても紹介

情報セキュリティの重要性は、日々進化するサイバー攻撃の脅威により、ますます高まっています。特に、企業や組織を狙った攻撃は多様化・高度化しており、被害を受けるリスクも増加しています。
本記事では、最新の情報セキュリティトレンドを踏まえ、企業が今すぐに取り組むべき対策について紹介します。

Contents

情報セキュリティの最新トレンドは？

昨今、サイバー攻撃の手法はますます巧妙化し、多くの企業がその被害に苦しんでいます。ここでは、特に注意が必要な情報セキュリティのトレンドを5つ紹介します。

修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）

ゼロデイ攻撃とは、アプリケーションやソフトウェアの脆弱性をメーカーが発見して対策を打つ前に、その脆弱性に付け込んで、不正アクセスやマルウェア感染などのサイバー攻撃を仕掛ける攻撃手法のことです。この攻撃は、脆弱性が発見されたその日（ゼロデイ）に行われるため、『ゼロデイ攻撃』と呼ばれます。

最近では、VPN機器の脆弱性を狙ったゼロデイ攻撃が増加しており、多くの被害が確認されています。
なかには、VPN接続を行うユーザーの認証情報を窃取され、それを起因に機密情報の窃取、情報漏えい、マルウェア感染などさまざまな被害が発生し、2ヵ月以上サービス停止となった事象も発生しています。

ゼロデイ攻撃については以下の記事で詳しく解説しています。
関連記事：ゼロデイ攻撃とは？企業が知るべきリスクと対策について

テレワーク等のニューノーマルな働き方を狙った攻撃

新型コロナウイルス感染症の発生以降、『テレワーク』や『サテライトオフィス』など、場所を選ばず働ける新しい働き方が広がりました。
これにより、仕事の自由度は増しましたが、同時にセキュリティリスクも増大しています。特に、セキュリティ意識の低下が問題視されており、攻撃者に狙われる原因となっています。

最近の事例では、在宅勤務中に社用パソコンから外部ネットワークを使用し、ウイルスが仕込まれたファイルをダウンロードしたケースがあります。利用者はそのまま出社し、社用パソコンを社内ネットワークに接続したことで、ウイルスが社内全体に拡散する被害が報告されています。

ビジネスメール詐欺による金銭被害（BEC）

ビジネスメール詐欺（BEC）は、企業の取引先や経営者になりすました偽のメールを使って金銭を詐取するサイバー攻撃の一種です。この手法は、取引先の親しい人や上司など信頼できる人物を装って送られてくることが多いことから、被害が拡大しやすいのが特徴です。

米国連邦捜査局（FBI）の報告によると、2016年6月から2021年12月までに米国インターネット犯罪苦情センター（Internet Crime Complaint Center：IC3）を含む複数の情報源に報告されたビジネスメール詐欺による被害は、全米および177カ国で241,206件に達し、総額約433億ドルの被害にのぼっています。

出典：「IC3の年次報告書による年間被害額 (各年次報告書を基にIPAで作成) 」ビジネスメール詐欺（BEC）の特徴と対策（IPA（独立行政法人情報処理推進機構））

日本でもこの手口による被害が増加しており、最近では億単位の金銭被害が発生した事例もあります。海外の銀行に送金されると、組み戻しができないこともあるため、急な口座の変更依頼をもらった際は、メール以外の連絡手段（電話やチャットツールなど）で本来の依頼主に確認するようにしましょう。

ビジネスメール詐欺については以下の記事で詳しく解説しています。
関連記事：ビジネスメール詐欺とは？標的型メールとの違いや手口、対策を解説

元従業員の情報持ち出しによる情報漏えい

元従業員による故意の機密情報や顧客情報の持ち出しが原因での、情報漏えいも増加しています。

情報漏えいルートについて調査したIPA（独立行政法人情報処理推進機構）の報告によると、2016年は『誤操作、誤認等』が21.2%で最も多い理由であったのに対し、2020年は『中途退職者』による漏えいが36.3％と最も多くなりました。

出典：「営業秘密の漏えいルート」「企業における営業秘密管理に関する実態調査2020」報告書（IPA（独立行政法人情報処理推進機構））

このような事象が発生すると、企業の社会的信用が失われるだけでなく、損害賠償などの経済的損失も発生する可能性があります。さらに、不正に取得した情報が他の企業や組織に持ち込まれた場合、その企業や組織も法的措置や損害賠償の対象となるリスクがあります。

最近では、従業員が顧客情報や社外秘情報を持ち出し、外部に売却したケースや、元従業員が保有する名刺情報を転職先に提供したケースが確認されています。

ランサムウェアによる被害

ランサムウェアは、身代金を意味する『Ransom（ランサム）』と『Software（ソフトウェア）』を組み合わせた造語で、データを不正に暗号化し、その復元と引き換えに身代金を要求するマルウェアです。

警視庁の報告によると、企業や団体を狙ったランサムウェアの被害は年々増加しています。

出典：「企業・団体等におけるランサムウェア被害の報告件数の推移」令和５年におけるサイバー空間をめぐる脅威の情勢等について（警察庁）

日本だけでなく、世界中の企業でもランサムウェアの感染が多数確認されており、近年だと病院の診療報酬計算や電子カルテの閲覧に使用する基幹システムが利用できなくなり、新規患者の受け入れが一時停止される事態が発生しました。また、アメリカの石油パイプライン大手企業がサイバー攻撃でランサムウェアに感染し、燃料の輸送が停止され緊急措置が導入されたケースもあります。

ランサムウェアの脅威や対策方法については以下の記事で詳しく解説しています。
関連記事：ランサムウェアの脅威｜企業が知るべき感染経路と対策方法

情報セキュリティ事故を防ぐには？

サイバー攻撃の手法について紹介してきましたが、このような攻撃から企業の情報を守るにはどのような対策をすべきでしょうか。
ここでは、サイバー攻撃からのリスクを軽減し、企業の重要な情報を守る方法を4つ紹介します。

適切なセキュリティツールの利用

1つ目は『適切なセキュリティツールの利用』です。
ウイルス対策ソフトやファイアウォールなどのセキュリティ機器を活用することで、サイバー攻撃のリスクを大幅に減らすことができます。

また、効果的にリスクを軽減するには、企業が使用している機器やソフトウェアに合ったツールを選ぶことが重要です。例えば、中小企業と大企業では、必要とされるセキュリティ対策が異なるため、ニーズに合ったツールを選ぶことが求められます。

もし、どのようなツールを選べばよいかわからない場合は、セキュリティ診断の受診や、現在利用しているITベンダーに相談などを行うとよいでしょう。これにより、企業は常に最新の脅威に対応し、情報漏えいやデータ損失を抑制することが可能になります。

セキュリティパッチの適用

2つ目は『セキュリティパッチの適用』です。
ソフトウェアやネットワーク機器のメーカーは、脆弱性が見つかると『セキュリティパッチ』と呼ばれる修正プログラムを配布します。このセキュリティパッチを迅速に適用することで、脆弱性を修正し、サイバー攻撃のリスクを減らすことができます。

セキュリティパッチの適用が遅れると、未修正の脆弱性が残り、ゼロデイ攻撃などの標的になる可能性があります。そのため、セキュリティパッチが配布された際には、できるだけ早く適用することが重要です。これにより、企業は最新のセキュリティ状態を維持し、予期せぬ攻撃からシステムを守ることができます。

従業員へのセキュリティ教育の実施

3つ目は『従業員へのセキュリティ教育の実施』です。
社員は日常的にセキュリティ侵害の最前線に立っており、攻撃のターゲットとなることが多いです。しかし、多くの場合、専門知識が不足しているため、攻撃を受けてもそれに気づかず、結果として被害が拡大するリスクがあります。

そこで、従業員にセキュリティのベストプラクティスを習得させ、定期的なトレーニングを行うことで、セキュリティ意識を高めて企業全体の防御力を向上させることができます。

合わせて法令遵守などの教育も実施することで、内部不正の抑制にもつながります。これにより、企業全体としてのセキュリティレベルが向上し、被害を最小限に抑えることが可能になります。

社内の管理体制の強化

4つ目は『社内の管理体制の強化』です。
企業が保有する膨大な情報をサイバー攻撃の脅威から守るためには、セキュリティ製品や技術の導入だけでなく、管理体制の強化も重要なポイントです。具体的には、情報セキュリティマネジメントシステム（ISMS）の取得や、情報セキュリティ委員会の設置など、組織全体でセキュリティ対策に取り組む姿勢を持ち、示すことが重要です。

これにより、企業内の情報が一貫して管理され、外部へのセキュリティ対策のアピールとしても有効です。また、管理体制を強化することで、従業員一人ひとりがセキュリティ意識を持ち、企業全体でセキュリティを守る姿勢が浸透することが期待されます。