順位 | 脅威 | 手口 | 対策 |
1位 | ランサムウェアによる被害 | ・PC等に保存されているファイルを暗号化して使用できないようにする。 ・復旧と引き換えに金銭を要求する。 |
・社員教育の継続的な実施 ・不審なメールを開かない ・常に最新OSを利用 ・フィルタリングツール活用 |
2位 | 標的型攻撃による機密情報の窃取 | ・メールやWebサイトにウィルスを仕込み、特定組織のPCをウイルスに感染させる。 | ・組織内体制の構築 ・対策予算の確保 ・継続的な対策の実施 ・セキュリティポリシー策定と厳格な運用 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | ・テレワーク用ソフトの脆弱性を悪用した不正アクセス ・急なテレワーク移行による管理体制の不備の悪用 ・私物PCや自宅ネットワークの利用などの脆弱性悪用 |
・情報リテラシーや情報モラルの向上 ・セキュリティに強いテレワーク環境の構築 ・テレワーク規程や運用ルールの整備 |
4位 | サプライチェーンの弱点を悪用した攻撃 | セキュリティ対策が甘い組織及び取引先や一部業務を委託している外部組織を攻撃の足掛かりとする | ・業務委託や情報管理規則の整備・徹底 ・問題発生時の運用規則整備・徹底 ・委託先・取引先組織の精査と管理徹底 ・納品物検証 ・ISMS、Pマーク等の取得 |
5位 | ビジネスメール詐欺による金銭被害 | 取引先や経営者とやりとりするようなビジネスメールを装い、企業の金銭を取り扱う担当者を騙し攻撃者が用意した口座へ送金させる攻撃 | ・個人判断を排除するルールの確立 ・メールに依存しない業務フローの構築 ・複数の手段による事実確認 ・普段とは異なるメールアドレスへの注意 ・送信元のメールドメインのチェック |
6位 | 内部不正による情報漏えい | 組織の従業員や元従業員、組織関係者による以下の行為 ・機密情報の漏洩 ・不正行為による組織の社会的信用の失墜 ・不正行為に対する損害賠償 |
・情報セキュリティ基本方針の策定 ・情報資産の把握 ・重要情報の管理や保護、物理的管理の実施 ・情報リテラシーや情報モラルの向上 ・人的管理 ・コンプライアンス教育の徹底です。 |
7位 | 予期せぬIT基盤の障害に伴う業務停止 | 自然災害や作業事故、設備の障害などにより、利用しているデータセンターやクラウドのIT基盤等の停止により、組織の事業に大きな影響を与えるという脅威です。 | ・事業継続生計画(BCP)策定と運用 ・システムの可用性の確保と維持 ・データバックアップ ・IT基盤側との障害時の対応契約 |
8位 | インターネット上のサービスへの不正ログイン | インターネット上のサービスのIDやパスワードなどの認証情報の搾取により不正にログイン | ・パスワードの使いまわしの禁止 ・複雑なパスワードの使用強制 ・2要素認証の導入等です。 |
9位 | 不注意による情報漏えい等の被害 | 従業員による以下行為等による機密情報漏の洩 ・セキュリティ―意識の低さによる不注意 ・メール誤送信 |
・情報リテラシーや情報モラルの向上 ・外部に持ち出す情報や端末の制限 ・メール誤送信対策等の導入 ・ISMS、Pマーク等の認証取得 |
10位 | 脆弱性対策情報の公開に伴う悪用増加 | 公開された脆弱性情報への対策ができていない企業を狙う | ・常に最新のOSを利用する体制 ・ネットワークを監視・防御するツールの導入 ・ネットワークの監視および攻撃通信遮断 |