ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

　今日は、雨・・・。憂鬱な金曜日です。

　お約束通り、午前中にブログを更新しています。ただ、昨日帰りが遅くなったこともあり、朝は早く起きれませんでした。予定の生活リズムになるには時間がかかりそうです。今日は夜遅くなるような要因はないので、早く寝るというところから始めましょうか？

[情報セキュリティ10大脅威 2023]
　去年も御紹介した、情報セキュリティ10大脅威について、今年も見ていきましょう。
　本情報は、IPAから提供されており、以下のようになっています。
　情報としては、個人と組織で分けて紹介しています。

【個人】
1位　フィッシングによる個人情報等の詐取(前年は1位)
2位　ネット上の誹謗・中傷・デマ(前年は2位)
3位　メールやSMS等を使った脅迫・詐欺の手口による金銭要求(前年は3位)
4位　クレジットカード情報の不正利用(前年は4位)
5位　スマホ決済の不正利用(前年は5位)
6位　不正アプリによるスマートフォン利用者への被害(前年は7位)
7位　偽警告によるインターネット詐欺(前年は6位)
8位　インターネット上のサービスからの個人情報の窃取(前年は8位)
9位　インターネット上のサービスの不正ログイン(前年は10位)
10位　ワンクリック請求等の不当請求による金銭被害(圏外)

【組織】
1位　ランサムウェアによる被害(前年は1位)
2位　サプライチェーンの弱点を悪用した攻撃(前年は3位)
3位　標的型攻撃による機密情報の窃取(前年は2位)
4位　内部不正による情報漏えい(前年は5位)
5位　テレワーク等のニューノーマルな働き方を狙った攻撃(前年は4位)
6位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）(前年は7位)
7位　ビジネスメール詐欺による金銭被害(前年は8位)
8位　脆弱性対策の公開に伴う悪用増加(前年は8位)
9位　不注意による情報漏えい等の被害(前年は10位)
10位　犯罪のビジネス化（アンダーグラウンドサービス）(圏外)

[個人の情報セキュリティ10大脅威]
　基本的に脅威は変わっていません。1位〜9位までは不動って言う感じです。去年から今年にかけて消えた項目は、9位だったインターネットバンキングです。昔と違って現在銀行のシステムがインターネット上に公開されている状況です。セキュリティ的に防御されているとは言え、まだまだ多いと思われます。ランキングには掲載されていませんが、気をつけて下さい。
　ざっと見た印象ですが、2つの要因に分類できます。1つ目はITリテラシーの不足・・・。2つ目は法律の知識不足です。
　ITリテラシーの不足では、ソーシャルエンジニアリングなどの手法により狙われていると言った印象があります。
　法律知識の不足という部分では、2位のネット上の誹謗・中傷・デマ(前年は2位)と10位のワンクリック請求等の不当請求による金銭被害(圏外)の状況からそう感じます。
　
　もし、脅威を減らそうとするなら、ITリテラシーを高め、かつ、法律を知れば、脅威が弱まる、またはなくなるのかもしれません。

[組織の情報セキュリティ10大脅威　〜セキュリティホール〜]
　組織の情報セキュリティは、4つに分類できます。セキュリティホール、内部犯行、ソーシャルエンジニアリング、そして犯罪のビジネス化という4つです。
　セキュリティホールは、情報処理安全確保支援士などの力を借りて、なくす方向で考えるしかないようです。興味深いのは、サプライチェーンの弱点を悪用した攻撃(前年は3位)が2位にはいっているということ・・・。
　どんな攻撃か解説すると、一般的なモデルと言うことになりますが、子会社から親会社のネットワークにアクセスし攻撃します。なぜ、子会社なのか？それは、規模の小さい子会社は、セキュリティにお金をかけることができず、脆弱性を抱えている現状をうかがい知ることができます。ようは、お金をかければセキュリティを高めることができます。
　ゼロ・トラスト、ようはすべての通信を疑うと言った考え方が主流となってきている現在セキュリティ費用は高くなることはあっても、安くなることはないでしょう？このような状況は、これからず〜っと続くのかもしれません。

[組織の情報セキュリティ10大脅威　〜内部犯行〜]
　内部犯行を語る場合、不正のトライアングルという言葉で解説されることがあります。
　不正のトライアングルとは、3つの要素が揃ったときに、人は不正行為を働くとしています。それは、

動機
機会
正当化

　です。
アメリカの犯罪学者ドナルド・クレッシー氏が提唱した、組織内の要員が不正を起こすメカニズムを分析した理論です。
　それでは、以上の動機、機会、正当化という犯罪メカニズムの脅威を減らす方法について考えてみましょう。

　動機を減らすには、部下とのコミュニケーションを密にし、公私においてどんな悩みを抱え、その悩みを軽減してあげる努力が必要なのかもしれません。
　機会を減らすには、業務運用、システムで軽減する方法が考えられます。
　そして、正当化を減らすには、SPC(サービスプロフィットチェーン)を高めることにより軽減する方法が考えられます。SPCについては、解説すると長くなるので、解説しているサイトを下記に記します。なお、このSPCは中小企業診断士における企業経営理論の試験範囲です。機会がありましたら、ブログに書きます

[組織の情報セキュリティ10大脅威　〜その他〜]
　ソーシャルエンジニアリングは、ITリテラシーを組織として高めるしかないでしょう？セキュリティの考え方を教え、その考え方で行動するということを心がけるしかないです。
　そして、犯罪のビジネスですが、一般社会で騒がれている、オレオレ詐欺とか組織的強盗などの犯罪が、ITの世界にもはいってきた印象があります。今後、注視していきたいと思います。

[あとがき]
　文中にお金をかければ、セキュリティが減るという話をしてますが、残念ながらゼロにはなりません。お金をかけても、知識を持っていても、セキュリティインシデントに遭遇するケースはあります。
　ただ、セキュリティリスクが減るということは事実なので、今までのセキュリティインシデントを分析し、どうしたらいいのかということを、考えていかなければいけません。そして、このようなランキングを見ることにより、限りあるリソースを割り振る比重を考える機会にしてください。

　では、また！

■情報セキュリティ10大脅威 2023(IPA)
https://www.ipa.go.jp/security/10threats/10threats2023.html

■サービスプロフィットチェーン（SPC）とは？顧客と従業員の満足度が企業収益に繋がる仕組みを解説(EmotionTech)
https://emotion-tech.co.jp/column/2019/what_is_service_profit_chain/