情報処理推進機構(IPA)は、情報セキュリティ専門家を中心とした117人で「10大脅威執筆者会」を構成し、毎年その年に発生したセキュリティ事故や攻撃状況、IT環境の変化などから、各セキュリティ脅威について順位づけしている。そのエッセンスをまとめた第1回は、2001年以降の脅威を解説した後、最近のセキュリティ上の脅威を5つに分類し整理する。

これまでの脅威を振り返る

 表1は、2001年から2013年までのタイムスパンで、攻撃傾向、IT環境、政策などの変遷を表したものである。2001年当時と比べると、脅威に関係する要素が増え、防御側が警戒すべき脅威が複雑化しているのが分かる。また、脅威の変化を追うようにして、新たな法整備や政策立案がされており、安全保障や犯罪捜査などが新たな問題領域として認識されだしている。

 この様に、今日の“情報セキュリティ”は、従来のウイルスや不正アクセス問題、組織のセキュリティマネジメントの枠を超え、これまでとは異なる領域・分野においても異なる切り口で問題が定義されだしている。

表1●脅威の変遷
表1:脅威の変遷
[画像のクリックで拡大表示]

2013年の動き

 2013年は全体的に複数の領域で問題が顕在化した1年だったと言える。一つには、標的型攻撃に代表されるサイバー攻撃・犯罪が増大化していることが挙げられる。また、メガリークと呼ばれる大量の個人情報の漏えい、増え続けるウェブサイト改ざん、DDoS攻撃におけるトラフィック量の増大など、サイバー攻撃に伴う脅威は相対的に増大している。

 また、FacebookやTwitterなどのソーシャルメディアへの不適切な投稿により、ネット上で炎上し、個人はもとより、組織の管理体制にまで影響が波及するなど、個人ユーザーにおけるインターネットモラルも重要な課題として注視しなければならない。特に、未成年者が補導・逮捕されるケースも増えており、犯罪の低年齢化が社会的にも大きな問題になりつつある。

今後の懸念事項

 IT環境面の変化に目を向けると、インターネットに接続するオフィス機器や情報家電が増えている。それに伴い、不適切な設定による情報漏えいや不正アクセスが引き起こされている。守るべきものがパソコンやサーバーだけでなく、オフィス機器や情報家電まで広がりつつあり、セキュリティ対策の根本を見直す時期にきている。

 このようにIT環境は、様々な形で変化しており、新たな問題を生み出している。重要なのは、脅威を自組織や自身に当てはめて、問題点や課題を認識し、適切な対応を講じることである。本特集に記載している脅威について、自組織や自身への脅威を見極めながら、読み進めていただきたい。