情報セキュリティと脅威

こんにちは、中小企業診断士の布能です。
最近、IT関係のことを調べる機会が多かったので、「情報セキュリティと脅威」というテーマ記事を書いてみることにしました。

元ネタは、「情報セキュリティ10大脅威 2016(IPA情報処理推進機構)」です。

2007～2015のIT機器の移り変わりと攻撃手段

西暦年	新たなIT機器の	新たなサービス	時事	新たな攻撃方法
2006年以前	携帯電話(ガラケー)	SNS、無線LAN		標準型攻撃*、フィッシング詐欺
2007年	スマートフォン
2008年		クラウドサービス*	iPhone発売	ボットネット*
2009年			Androidスマートフォン発売	スマートフォンを使った攻撃
2010年			iPad 発売
2011年
2012年
2013年	IoT*機器
2014年			Windows XP サポート終了	ランサムウエア、IoTを狙った攻撃
2015年			Windows Server 2003 サポート終了

*クラウドサービス：利用者が手元のコンピュータで利用していたデータやソフトウェアを、ネットワーク経由で、サービスとして利用者に提供するもの。
*標準型攻撃：特定の組織内の情報を狙って行われるサイバー攻撃の一種であり、その組織の構成員宛てにコンピュータウイルスが添付された電子メールを送ることなどによって開始される。
*ボットネット：サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークことを指す。
*ランサムウエア：感染したコンピュータはシステムへのアクセスを制限される。この制限を解除するため、被害者はマルウェアの作者にransom（身代金）を支払うよう要求される。
*IoT：様々な「モノ（物）」がインターネットに接続され（単に繋がるだけではなく、モノがインターネットのように繋がる）、情報交換することにより相互に制御する仕組み。

この10年間をみると、スマートフォンやタブレットなどのIT機器や、SNS、クラウドなどのサービスの進展があり、それらに対する攻撃が増えていますね。
また、最近では、データの受発信先が人間だけではなく、IoT機器となるケースが増えています。IoT機器へのデータ通信量については、今後ますます増えるといわれています。このため今後は、対人間に加えて、対IoT機器への脅威に対する情報セキュリティ―が求められています。

2007～2015の情報セキュリティの脅威ベスト3

順位	2007年	2008年	2009年
1位	高まる「誘導型」攻撃の脅威	DNSキャッシュポイズニング*の脅威	変化を続けるウェブサイト改ざんの手口
2位	ウェブサイトを狙った攻撃の広まり	正規ウェブサイトを経由した攻撃の猛威	アップデートしていないクライアントソフト
3位	恒常化する情報漏えい	巧妙化する標的型攻撃	悪質なウイルスやボットの多目的化
順位	2010年	2011年	2012年
1位	「人」が起こしてしまう情報漏えい	機密情報が盗まれる！？新しいタイプの攻撃	クライアントソフトの脆弱性を突いた攻撃
2位	止らない！ウェブサイトを経由した攻撃	予測不能の災害発生！引き起こされた業務停止	標的型諜報攻撃の脅威
3位	定番ソフトウェアの脆弱性を狙った攻撃	特定できぬ、共通思想集団による攻撃	スマートデバイスを狙った悪意あるアプリの横行
順位	2013年	2014年	2015年
1位	標的型メールを用いた組織へのスパイ・諜報活動	インターネットバンキングやクレジットカード情報の不正利用	インターネットバンキングやクレジットカード情報の不正利用
2位	不正ログイン・不正利用	内部不正による情報漏えい	標的型攻撃による情報流出
3位	ウェブサイトの改ざん	標的型攻撃による諜報活動	ランサムウェアを使った詐欺・恐喝

*DNSキャッシュポイズニング：DNSサービスを提供しているサーバに偽の情報を覚えこませる攻撃手法

毎年、異なる脅威がベスト3にランキングされますが、古くからある電子メールなどにウイルスを混ぜ込むなどを行う「標準型攻撃」は、多くの年でランキングされています。
また以前でhあ、対企業向けの情報漏えいの脅威が多かったのですが、近年では、「インターネットバンキングやクレジットカードの不正利用」や「ランサムウエアを使った詐欺・恐喝」など、個人向けの金融被害の脅威も高まっていることがわかります。

これまでも様々な場所で言われてきましたが、今後は、「人間」「企業」だけでなく、「IoT機器」「個人」へと脅威の対象が広がりを見せており、ますます情報セキュリティが重要になっていくと思われます。