メニュー
セキュリティ対策

セキュリティ対策

情報セキュリティ10大脅威とその対策

2016年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果の基づき、「個人」と「組織」の異なる立場でそれぞれの脅威を順位付けしています。本ページでは「組織」に対する脅威と対策について説明します。
出典元:IPA 独立行政法人 情報処理推進機構

セキュリティ対策

情報セキュリティ10大脅威とその対策

2016年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果の基づき、「個人」と「組織」の異なる立場でそれぞれの脅威を順位付けしています。本ページでは「組織」に対する脅威と対策について説明します。

出典元:IPA 独立行政法人 情報処理推進機構

IPA 情報セキュリティ 10大脅威2016  イメージ図

情報セキュリティ10大脅威 2017 組織別順位

第1位
標的型攻撃による情報流出
企業や民間団体や官公庁等、特定の組織に対して、メールの添付ファイルやウェブサイトを利用してPCにウイルスを感染させ、そのPCを遠隔操作して、別のPCに感染を拡大し、最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している。   標的型攻撃による情報流出
第2位
ランサムウェアによる被害
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、その端末からアクセスできる共有サーバーに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。   ランサムウェアによる被害
第3位
ウェブサービスからの個人情報の窃取
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名やクレジットカード情報が窃取される事件が2016年も引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。   ウェブサービスからの個人情報の窃取
第4位
サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られたIT機器等から構成されたボットネットにより、企業や民間団体等、組織のウェブサイトや組織の利用しているDNSサーバーに大量のアクセスを行うDDoS(分散型サービス妨害)攻撃が急増した。攻撃によりウェブサイトやDNSサーバーが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、ウェブサイト運営者が対応に追われた。   サービス妨害攻撃によるサービスの停止
第5位
内部不正による情報漏えいとそれに伴う業務停止
組織内部の職員や元職員による、情報の不正な持ち出し等の不正行為が起きている。不正に持ち出した情報の紛失により情報漏えいにつながるケースがある。内部不正を防ぐには、制約や罰則を設けるといった管理的な対策に加えて、適切なアクセス権限の設定やログの収集・管理等の技術的な対策を取り、不正行為を防止すると共に、検知と追求が可能な環境であることを職員に周知する必要がある。   内部不正による情報漏えいとそれに伴う業務停止
  • 社内のIT資産をスムーズに一元管理する資産管理システム。
    設計・構築から運用までトータルにサポートします。

  • アクセスログ収集で内部犯行の抑制と万が一の際も事後追跡が可能に。アクセス履歴をログとして記録するのは、情報漏えい対策の第一歩です。

第6位
ウェブサイトの改ざん

コンテンツ管理システム(CMS)等に存在する脆弱性を悪用し、ウェブサイトが改ざんされる事例が今年も発生している。復旧までウェブサイトを停止することになり、特にオンラインショッピング等を運営している場合、事業上の被害が大きい。また、閲覧者がウイルスに感染するように改ざんされた場合、社会的信用を失うことにつながる。

  ウェブサイトの改ざん
第7位
ウェブサービスへの不正ログイン
2016年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃によって行われている。ウェブサービスの利用者がパスワードを使い回している場合、不正ログインが行われる恐れがある。ウェブサービスの提供者は、不正ログインされないように多要素認証等のセキュリティ機能をウェブサービスの利用者に提供する必要がある。   ウェブサービスへの不正ログイン
第8位
IoT機器の脆弱性の顕在化
2016年は、自動車や医療機器の脆弱性が昨年に続いて公表された。またIoT(Internet of Things)機器の脆弱性を悪用してボット化することで、インターネット上のサービスやサーバーに対して大規模なDDoS攻撃が行われる等、IoT機器の脆弱性に関する脅威が顕在化している。   IoT機器の脆弱性の顕在化
第9位
攻撃のビジネス化(アンダーグラウンドサービス)
犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがある。   攻撃のビジネス化(アンダーグラウンドサービス)
  • 情報漏えい、サイバー犯罪に対する知識と気づきを提供。お客さまに合わせた研修テキストでわかりやすくお伝えします。

  • お客さまのポリシーに基づき的確なWebフィルタリングを実現。情報漏えい・ウイルス感染防止及び業務効率向上に貢献します。

第10位
インターネットバンキングやクレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数は減少し、さらに、銀行やカード発行会社の被害額は減少している。   インターネットバンキングやクレジットカード情報の不正利用

NECフィールディングはお客さまのビジネスを支援するITシステムの設計・構築からその後の運用・管理・保守までを幅広くサポートします!IT機器・システムはもちろん、それ以外の機器やNEC製品以外の機器(マルチベンダー)の対応も行なっています。
NECフィールディングは、3つの強み(技術力・展開力・ナレッジマネジメント力)を活用し、お客さまの課題や事業プランに合わせて、最適なビジネス環境をお客様と一緒に構築していきます。
全国約400ヵ所にサービス拠点を構えているため、24時間365日、いつでもどこでもスピーディにサービス提供が可能です。ITシステム(ビジネス)のことなら60年以上にわたり、常にお客さまのそばで、お客さまのさまざまな課題を解決してきたNECフィールディングまでご相談ください。

Copyright © NEC Fielding, Ltd, 2017. All rights reserved.