「狙われるのは人。人間のスキが最もつけこまれやすいからだ」。特定非営利活動法人日本セキュリティ監査協会(JASA)の永宮直史事務局長は2018年1月5日に公表した2018年の情報セキュリティ10大トレンド予測を踏まえ、こう警告する。

 JASAは約1500人の情報セキュリティ監査人を対象に2017年10月18~31日にWebアンケートを実施。195件の有効回答を基に、情報セキュリティ監査人の観点で選出した10大脅威を選出、このほど初めて公表した。

 脅威が大きいトップ3はそれぞれ、ランサム(身代金)ウエア、標的型攻撃、IoT(インターネット・オブ・シングズ)製品を狙った攻撃が並んだ。シマンテックやトレンドマイクロなどのセキュリティ会社も2018年の脅威予測で上位に挙げるものだ。JASAの永宮事務局長は「これらは2017年から引き続き、注意や対策が必要」と注意喚起する。

表 日本セキュリティ監査協会(JASA)がまとめた「2018年情報セキュリティの10大トレンド」
表 日本セキュリティ監査協会(JASA)がまとめた「2018年情報セキュリティの10大トレンド」
(出所:日本セキュリティ監査協会の資料を基に編集部が作成、一部文言を変えています)
[画像のクリックで拡大表示]

 特に情報セキュリティ監査の観点で重要となってくるのがランキングの4~6位という。クラウドサービスの一極集中管理で事故があった場合の脅威、働き方改革の考慮不足による脅威、取引先や経営層の業務メールを偽って入金を促す「ビジネスメール詐欺(BEC)」による脅威――である。「技術的な対策に加え、人的な対策も必要になる脅威だ」(永宮事務局長)。

テレワークに伴うリスクの特定を

 2017年に広がった働き方改革の取り組みが、2018年はセキュリティリスクになり得るという。例えば、オフィスの外でも仕事をできるようにするテレワークの導入は柔軟な働き方の実現に欠かせない一方でセキュリティの確保が難しい。操作端末に仮想デスクトップなどの技術を使っても、自宅や喫茶店などで無線LANに接続する場合、十分なセキュリティを満たせていない可能性があるという。

 「就業環境が変化したとき、新たにどんなリスクが発生するのか特定する必要がある。リスクを特定しないと対策も打てない」と永宮事務局長は指摘する。リスクの特定は経営層やシステム部門だけでは難しく、現場の利用部門の意識や対策のすり合わせが必要になるという。