実際に情報セキュリティへの脅威にはどのようなものがあるのでしょうか?IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威 2018」では以下のようなものがあります。
| 昨年 順位 | 個人 | 順位 | 組織 | 昨年 順位 |
| 1位 | インタネットバンキングやクレジットカード情報等の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
| 2位 | ランサムウェアによる被害 | 2位 | ランサムウェアによる被害 | 2位 |
| 7位 | ネット上の誹謗・中傷 | 3位 | ビジネスメール詐欺による被害 | ランク外 |
| 3位 | スマートフォンやスマートフォンアプリを狙った攻撃 | 4位 | 脆弱性対策情報の公開に伴う悪用増加 | ランク外 |
| 4位 | ウェブサービスへの不正ログイン | 5位 | 脅威に対応するためのセキュリティ人材の不足 | ランク外 |
| 6位 | ウェブサービスからの個人情報の窃取 | 6位 | ウェブサービスからの個人情報の窃取 | 3位 |
| 8位 | 情報モラル欠如に伴う犯罪の低年齢化 | 7位 | IoT機器の脆弱性の顕在化 | 8位 |
| 5位 | ワンクリック請求等の不当請求 | 8位 | 内部不正による情報漏えい | 5位 |
| 10位 | IoT機器の不適切な管理 | 9位 | サービス妨害攻撃によるサービスの停止 | 4位 |
| ランク外 | 偽警告によるインターネット詐欺 | 10位 | 犯罪のビジネス化 (アンダーグラウンドサービス) | 9位 |
出典:https://www.ipa.go.jp/security/vuln/10threats2018.html
上記資料は個人に対する脅威と組織に対する脅威に分けられていますが、特に組織に限って見てみますと、
・脆弱性対策情報の公開に伴う悪用増加
・脅威に対応するためのセキュリティ人材の不足
・IoT機器の脆弱性の顕在化
といった脅威は、セキュリティの脆弱性に一定程度の対策を講じていたにもかかわらず、それを上回るペースで不正アクセスの技術が進歩しているとも言えるかと思われます。
こうした状況の中で企業の情報を守るために必要なことは何でしょう?
・常に最新の情報セキュリティシステムを導入する
・情報セキュリティの専門家を育成する
・情報セキュリティについての教育を徹底する
確かに、こうした対策は早急に導入すべきものだと言えます。ただ、もっと根本的な問題として「組織が保有している情報の価値」を組織に属する方々が認識する必要があるのではないでしょうか?
情報漏洩事件一件に対する平均被害額は約5億5千万円です。その危機感を持っていない限り、どれだけ最新の機器を導入し、優秀な人材を育てても、意味がない対策になってしまいます。