さまざまなセキュリティの課題が浮上する中で、セキュリティ担当者は何から優先的に取り組めばいいのか。特に警戒すべきセキュリティの脅威や課題をまとめた。
人工知能(AI)技術をはじめとした新しい技術は、ユーザー企業に新たな脅威をもたらしている。予算や人手が不足する中、セキュリティを強化するためのポイントになるのは「本当に重要な課題」から手を付けることだ。本稿はセキュリティの7大課題のうち、3つ目から7つ目までを取り上げる。
フィッシング攻撃は認証情報といった機密データが流出してランサムウェア攻撃など他の攻撃につながる恐れがあるため、決して軽視してはいけない。フィッシング攻撃の種類は主に以下の通りだ。
ここで、過去に注目を集めたフィッシング攻撃の事例を紹介しよう。
ランサムウェア(身代金要求型マルウェア)攻撃は引き続き猛威を振るっている。通信大手Verizon Communicationsによると、2023年、全攻撃の24%にランサムウェアが関与していた。セキュリティベンダーSophosは組織の66%が過去1年間(2023年時点)にランサムウェア攻撃を受けたという。ランサムウェア攻撃はシステムの暗号化にとどまらず、データの盗難や転売といった「多重恐喝」の手口が広がりつつある。ユーザー企業は自組織が必ずランサムウェア攻撃を受けると想定し、侵入検知やバックアップなどのセキュリティ対策を講じておくことが欠かせない。
ユーザー企業は、部品供給会社といった取引先や関連会社を標的にした「サプライチェーン攻撃」に注意する必要がある。こうした“間接攻撃”によって、自社システムも影響を受ける恐れがあるからだ。もう一つのサプライチェーン攻撃として、ソフトウェアの開発から提供までの工程(ソフトウェアのサプライチェーン)を狙った攻撃がある。不正コードの挿入などによってソフトウェアに脆弱(ぜいじゃく)性を持たせ、そのユーザー企業を攻撃しやすくするものだ。
後者の事例として、「Log4Shell」として知られる、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性「CVE-2021-44228」が2021年から幅広い組織に影響を与えた。CVE-2021-44228は悪用された場合、標的システムに対して任意のコード実行が可能になる。
大半の組織は、自社・他社のソフトウェアに含まれるコンポーネントの詳細を把握していない。そのため、脆弱性があっても発見しにくい。対策としては、定期的にソフトウェアの更新プログラムを実行することが推奨される。「SBOM」(ソフトウェア部品表)を使用してコンポーネントを管理することもセキュリティ対策として有効だ。
経済的な不安要素が増大する中で、IT予算を減らしているユーザー企業がある。セキュリティの費用対効果は測定しにくい。セキュリティは単なる「コスト」と捉えられがちなため、IT予算削減の影響を受ける可能性が高いと考えられる。セキュリティ予算が削られたら、セキュリティ担当者を減らしたり、導入するセキュリティ製品を絞ったりせざるを得ないため、攻撃を受けるリスクが高まる。
人手不足とスキルギャップはセキュリティ分野の深刻な問題だ。巧妙な手口の攻撃が活発化する中では、本来であれば人員を増やしたりスキルを磨いたりすることに投資すべきだ。しかし上記で取り上げた予算削減の問題もあり、それができるとは限らない。。セキュリティ団体ISC2(International Information System Security Certification Consortium)によると、全世界でセキュリティ人材不足は年々、広がっている。組織はこの問題を意識し、セキュリティ人材の採用や育成にできる限り予算を回すべきだ、
後編は、セキュリティを高めるための施策を紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
「マツキヨココカラ公式アプリ」が「Temu」超えの初登場1位 2024年のEコマースアプリトレンド
AdjustとSensor Towerが共同で発表した「モバイルアプリトレンドレポート 2024 :日本版...
「RevOps」に関する実態調査 収益向上への実感やCROの設置率は?
ウイングアーク1stが実施した「RevOpsに関する実態調査」の結果です。
ピザ配達員とカーチェイス ペプシの大胆キャンペーンの狙いは?
PepsiはフードデリバリーサービスDoorDashとのパートナーシップ強化に伴い、アクション映...
ITmediaはアイティメディア株式会社の登録商標です。
