情報セキュリティ10大脅威 2021
2021年8月23日、IPA(情報処理推進機構)より「情報セキュリティ10大脅威 2021」および関連資料の公開が完了しました。順位は、2020年に発生した情報セキュリティにおける事案からIPAが脅威候補を選出し、研究者や企業の実務担当者の審議・投票で決定したものです。今回はその中でも、コロナ禍で急増した影響で新たにランクインしている「テレワーク体制を狙う脅威」について一部抜粋してご紹介します。
● 情報セキュリティ 10 大脅威 2021 「組織」向けの脅威の順位
| 順位 | 「組織」向け脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 5位 |
| 2位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | NEW |
| 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 5位 | ビジネスメール詐欺による金銭被害 | 3位 |
| 6位 | 内部不正による情報漏えい | 2位 |
| 7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
| 8位 | インターネット上のサービスへの不正ログイン | 16位 |
| 9位 | 不注意による情報漏えい等の被害 | 7位 |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
● 3位 テレワーク等のニューノーマルな働き方を狙った攻撃
~テレワーク環境を意識した対策を~
2020年は新型コロナウイルス感染症 (COVID-19)の世界的な蔓延に伴い、政府機関から感染症対策の一環として日本の組織に対してニューノーマルな働き方の一つであるテレワークが推奨された。組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、このような業務環境の急激な変化を狙った攻撃が行われている。
攻撃手口/発生要因
テレワーク用ソフトウェアの脆弱性の悪用
社内VPN等のテレワーク用に導入している製品の脆弱性を悪用し、社内システムに不正アクセスしたり、PC内の業務情報等を窃取したりする。
また、ウェブ会議サービスの脆弱性を悪用し、ウェブ会議をのぞき見する。
急なテレワーク移行による管理体制の不備
テレワークで利用している PC内のOSやソフトウェアのセキュリティ管理を組織側から行うのは難しい。その中で、テレワークへの急な移行によりルール整備やセキュリティ対策のノウハウが不十分なまま利用を開始している。
私物PCや自宅ネットワークの利用
私物PCをテレワークで利用している場合、SNSの利用やウェブサイトへのアクセス等の私的利用でPCがウイルスに感染したり、テレワーク用の認証情報を窃取されたりするおそれがある。
また、組織支給のPCを利用している場合でも、適切なセキュリティ対策が行われていない自宅ネットワークを利用することで組織の適切なセキュリティ対策が適用されず、PCがウイルスに感染する等のおそれがある。
対策/対応
テレワーカー
- セキュリティ教育の受講
- 組織のテレワークルールを遵守(端末、ネットワーク、作業場所等)
- 被害を受けた後の対応(CSIRT ※ への連絡)
※CSIRT…セキュリティインシデント等の問題が発生した際に原因究明や影響範囲の調査等を行う組織
経営者層
- CSIRTの構築
- 対策予算の確保と継続的な対策の実施
- テレワークのセキュリティポリシーの策定
セキュリティ担当者、システム管理者
■被害の予防(被害に備えた対策含む)
- シンクライアント、VPN、ZTNA等のセキュリティに強いテレワーク環境の採用
- テレワーク規程や運用ルールの整備(組織支給PCと私物PCの違いも考慮)
- セキュリティ教育の実施
- テレワークで利用するソフトウェアの脆弱性情報の収集と周知、対策状況の管理
- セキュリティパッチの適用(VPN装置、ネットワーク機器、PC 等)
■被害の早期検知
- 適切なログの取得と継続的な監視
- ネットワーク監視、防御
■被害を受けた後の対応
- CSIRTの運用によるインシデント対応
- 影響調査および原因の追究、対策の強化
出典:「情報セキュリティ10大脅威 2021」(IPA)を加工して作成
事例70
AI技術によるデータ活用・データベース運用支援
眠っていた過去の問合せ履歴情報を有効活用できる
AI技術搭載のQA検索システムで問合せ対応工数大幅カット!
クライアント企業プロフィール
- 事業内容
- IT関連製品の製造・流通・販売、IT関連サービスの提供
- 従業員数
- 約1,400人
背景
- 問合せ対応業務に伴い数千件の問合せ履歴情報が蓄積されているにも関わらず、クライアント先では情報をスムーズに取り出すナレッジベースの仕組みがなかった
- クライアント先で利用している既存のQA検索システムはAIが組み込まれておらず、適切な回答を見つけ出すのが困難なため、問合せ対応業務の運用とマッチしなかった
支援内容
問合せ対応業務を受託しているコムテックメンバーが、問合せ履歴から必要なQAのみ選定、加工して登録
新QA検索システム導入
- コムテックメンバーが問合せ対応で培った知見をQAコンテンツとしてナレッジベース化
- AI ベースの検索エンジンで高精度の検索を実現
知りたい情報が
簡単に検索できる!
AIを活用した高精度のQA検索システム開発
- 単語検索に加え、自然言語(話し言葉)で回答の検索が可能
- AI技術で、質問との関連性の高い順に回答候補を表示
ナレッジベース活用促進支援
- 業務知識のあるコムテックメンバーが質の高いQAコンテンツを作成
- QA検索システムの社内外公開支援や利用ユーザーの獲得・定着を支援
QAコンテンツLCM※支援
※LCM=ライフサイクルマネジメント
- コムテックメンバーがQAコンテンツの追加作成・メンテナンスを実施
- ユーザーの利用実績を解析し、QAコンテンツの鮮度を維持
- 適切な回答を上位表示させるためのトレーニングを実施
成果
- 新QA検索システム導入により、問合せ対応業務について2,160時間/年の工数削減に成功
- 導入後の成果がクライアントに評価され、クライアント内の他部署でも新QA検索システムを導入
- 毎週新規の問合せ情報をチェックし、都度QA検索システムに登録。半年に1度登録コンテンツの棚卸しを行うことで、情報の陳腐化を防ぎ、常に情報鮮度が高い状態を保持