IPA 組織情報の10大脅威解説を近く公開
情報処理推進機構(IPA)は近く、組織における「情報セキュリティ10大脅威2022」に関する解説書を公開する。情報セキュリティ分野の研究者や企業の実務担当者など約150人のメンバーで構成する、10大脅威選考会が、前年に発生したセキュリティ事故や攻撃の状況などから脅威を選出し、投票を行って「組織」と「個人」それぞれの脅威を毎年順位付けしており、今年1月には21年の状況に基づく10大脅威を決定。各脅威が個人や組織にどう影響するか―を確認しながら、様々な脅威と対策を網羅的に把握することを目的にIPAは、各脅威の動向を示した解説書を広く公開し、セキュリティ対策の普及を図るもの。
組織の10大脅威では、7位に初めて「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクインした。1位と2位には、昨年と同様に「ランサムウェアによる被害」と「標的型攻撃による機密情報の窃取」がランキングされた。ゼロデイ攻撃についてIPAは、事前の対策ができないため、組織としては攻撃検知後の対応方針を決め、関係者に徹底しておくことが重要―と指摘する。また、昨年10位だった「脆弱性対策情報の公開に伴う悪用増加」は6位に上昇。「サプライチェーンの弱点を悪用した攻撃」(3位)、「内部不正による情報漏洩」(5位)もワンランクアップした。一方で、個人の10大脅威では、昨年に引き続き順位の変動はあるものの、同じ10個の脅威がランクインした。このうち「フィッシングによる個人情報等の窃取」は、19年以降の2位からランクアップして初めて1位となった。
