プロジェクトマネージャー＆品質責任者のshinzです。

2023年7月25日に独立行政法人情報処理機構（IPA）より「情報セキュリティ白書2023」が公開されましたので早速読んでみました。

2022年度の情報セキュリティ関連の状況がまとめられており、大変興味深い内容となっておりました。

第1章の「セキュリティインシデント・脆弱性の現状と対策」には、様々な被害状況が紹介されており、読みながら他人事ではないなと思う箇所がいくつかありました。

特に「ビジネスメール詐欺」に関する内容では、詳細な手順の記載がありましたので、社外の方とメールの送受信をすることが多い方はご一読されることを強くお勧めします。

「情報セキュリティ白書2023」の目次・構成

序章 2022年度の情報セキュリティの概況

第1章 情報セキュリティインシデント・脆弱性の現状と対策
　1.1 2022年度に観測されたインシデント状況
　1.2 情報セキュリティインシデント別の手口と対策
　1.3 情報システムの脆弱性の動向

第2章 情報セキュリティを支える基盤の動向
　2.1 国内の情報セキュリティ政策の状況
　2.2 国外の情報セキュリティ政策の状況
　2.3 情報セキュリティ人材の現状と育成
　2.4 組織・個人における情報セキュリティの取り組み
　2.5 情報セキュリティの普及啓発活動
　2.6 国際標準化活動
　2.7 安全な政府調達に向けて
　2.8 その他の情報セキュリティ動向

第3章 個別テーマ
　3.1 制御システムの情報セキュリティ
　3.2 IoTの情報セキュリティ
　3.3 クラウドの情報セキュリティ
　3.4 虚偽情報拡散の脅威と対策の状況

付録 資料・ツール
　資料A 2022年のコンピュータウイルス届出状況
　資料B 2022年のコンピュータ不正アクセス届出状況
　資料C ソフトウェア等の脆弱性関連情報に関する届出状況
　資料D 2022年の情報セキュリティ安心相談窓口の相談状況
　第18回　IPA「ひろげよう情報モラル・セキュリティコンクール」2022　受賞作品
　IPAの便利なセキュリティツールとコンテンツ

ランサムウェア攻撃について

情報セキュリティの代表的な被害として　Webサイトの改ざん、フィッシング詐欺、ランサムウェアによる被害などがありますが、近年ランサムウェアの被害が増加傾向にあるようです。

※ランサムウェアはPCやサーバ等のファイルを暗号化し、使用不能にするウィルスの総称

（4）ランサムウェアによる被害

2022 年中に警察庁に報告された国内のランサムウェアによる被害は230 件で、前年比57.5% 増であった（図1-1-12）。中小企業の被害件数が前年比53.2% 増、団体等の被害件数前年比155.6% 増となっており、被害は企業、団体等の規模を問わず広範に及んでいることがうかがえる。

ここ数年でランサムウェア被害が急増している要因として、ランサムウェアをサービスとして提供する「RaaS（Ransomware as a Service）」と呼ばれる攻撃モデルの普及や、攻撃者の組織化・分業化が挙げられる。

被害増加の要因としてツールの高度化や組織化によって、以前よりも簡単に攻撃ができる状況になってきた、という事情があるようです。

現状は攻撃者との間でのイタチごっこになっており、対策の取られていない組織や個人が今後も狙われ続けてしまう状況が続くことが予測されます。

感染経路としては、インターネットに公開されたVPN 機器等の脆弱性や強度の弱い認証情報等を悪用し、ランサムウェアに感染させる手口が多く見られたそうです。

取得していたバックアップから復元を試みた111 件の復元結果を図1-1-18 に示す。83.5% がバックアップを取得していた一方で、復元できたのは18.9%に過ぎない。

個人的に気になった点としては、「バックアップから復元できたのは18.9%程度」という低い復元率です。この数字は、バックアップ用のサーバーが稼働しているシステムと同じネットワーク上に存在する場合、バックアップも含めて暗号化されてしまうということを表しています。

ランサムウェアの対策としては、攻撃者の手の届かないオフラインの環境にもバックアップを保存することが望ましいとされていますが、難しい場合は組織のネットワークから切り離したクラウド等に保存するか、一度保存した後は上書きを禁止する仕組み（WORM（Write OnceRead Many）機能）でデータを保護する必要があります。

情報セキュリティ教育はリスクアセスメント

リスクアセスメントは、職場の潜在的な危険性又は有害性を見つけ出し、これを除去、低減するため手法です。

例えば、作業場所の近くに大きな開口部があった場合、考えられるリスクは「作業員の落下」「治具や道具の落下」で、リスクによる損害は「怪我」が考えられます。対策としては「開口部に侵入できないように柵で囲う」「侵入禁止の看板を設置する」などがあります。

建設業界では10年以上前から取り入れられている考え方で、現場では新規入場時などのタイミングで作業員全員に作業を行う上での危険性を認識し、危険を除去する活動を行なっておりました。（※私の前職は建設業でした）　

情報セキュリティのリスクは、目視することができないが故に低く見積もってしまいがちですが、被害に遭うリスクは常に存在し続けており、対策が不十分であればリスクはより高まります。

「セキュリティの穴」がある前提で考えることでリスクは低減することは可能かと思いますので、全ての方に本書のご一読をお勧めしたいです。

本書の印刷書籍版は全国の書店で購入することができます。

発行：独立行政法人情報処理推進機構（IPA）

2023年7月25日発刊

ISBN 978-4-905318-79-8

ソフトカバー／A4判

定価：2,200円（本体価格2,000 円＋税10％）

また、本白書のPDF版は、「情報セキュリティ白書2023」のウェブページからアンケートに回答することで無償ダウンロードできます。
URL： https://www.ipa.go.jp/publish/wp-security/2023.html

sinz

寄り添うプロジェクトマネージャー

開発の進捗や課題の管理、協力業者との関係構築を努めプロジェクトを推進して参ります。
オフショア開発では開発ベンダとの調整役を担当することが多いです。
要件定義などの上流工程と、テスト計画の作成やテストケースの設計、実施、結果の分析など、テストライフサイクル全体にわたる業務を担当することもあります。
大きくて強そうな古生物が好き。