「情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第10位　脆弱性対策情報の公開に伴う悪用増加

概要

皆さん普段から様々なツールやサービスを使っているのではないでしょうか。
それらではよく、「セキュリティ上の危険性（脆弱性）があるので、アップデートや修正を行います」という連絡や通知が行われているのを目にするでしょう。
これらの公表は一見、セキュリティ対策が実施されるためよい事に思えるのですが、同時に悪意を持った人たちに対して、ツールやサービス自体の弱みを見せてしまうことにもつながります。

この脅威は、その一瞬の弱みを利用して不正アクセスなどの攻撃を行うというものです。
利用人口が多いツールやサービスほど、全員が脆弱性へ対応するのに時間がかかるため、被害が拡大するリスクも大きくなります。

対策

1.　情報収集

まず欠かせないのは情報収集です。

この脅威は、脆弱性の情報が公開されてから対応されるまでの間を突かれます。
つまり、すぐに対応することができれば、被害を受ける可能性を抑えることができます。

そのためにも、脆弱性に関する情報を発信している情報源を常に抑えておくようにしましょう。
具体的な情報源としては、IPAやJPCERT/CC、各サービスのサイトなどが挙げられます。

2.　利用サービス、資産の把握

もし利用しているサービスや、そのサービスをインストールなどしている資産（PCなど）が明確になっていなければ、対応漏れが発生する可能性もあります。
しっかりと、どのサービスを利用しているのか、そのサービスはどのPCなどで利用されているのか整理して、迅速にすべてに対応できるようにしておきましょう。

3.　怪しいサービスは使わない

小規模なサービスの場合、また、個人が提供するサービスの場合などだと、しっかりとしたサポートや脆弱性対応が行われない可能性があります。サービスを選定・利用する際には、しっかりとしたサポートが用意されているものを選ぶようにしましょう。

まとめ

今回は、「情報セキュリティ10大脅威（組織編）」の第10位をご紹介しました。
10位ではありますが、業務上で数えきれないほどのツールが使われるようになった現在では、それだけリスクが拡大している脅威でもあります。
しかもこの脅威は、前回14位だったものがトップ10に入ってきました。

受動的に対応するだけではなく、自分から情報を取りに行ってしっかりと対策できるようにしましょう。

次回は、「第9位　不注意による情報漏えい等の被害」をご紹介します。