本日(3/17),IPAセキュリティセンターより,「2014年版 情報セキュリティ10大脅威」が発表されました。
毎年大体3月中旬~下旬に発表されているので,そろそろだとは思っていましたが,今年もまた,更新されましたね。

情報セキュリティ10大脅威は,年ごとに発表される,情報セキュリティ上の脅威を,情報セキュリティ分野の研究者や企業などの実務担当者がランクづけしたものです。

情報処理技術者試験を実施しているIPAが発表しているものなので,かなり出題頻度は高いですし,春の試験を受ける人は,目を通しておくといいと思います。
特に,情報セキュリティスペシャリストを受験される方は必見です。

ということで,今年,2014年の10大脅威の第1位は,「標的型メールを用いた組織への スパイ・諜報活動」でした。

標的型攻撃は,近年すごく流行していて,政府や民間企業など,幅広く狙われています。
2012年には1位で,2013年には2位になっていましたが,また1位に返り咲きましたね。

標的型攻撃は,今までの攻撃と異なり,多段階で執拗に攻撃してきますし,一般的な対策を行うだけでは対処できません。
従来の攻撃への対策と考え方が違う所も含め,しっかり押さえておくことが大切です。

標的型攻撃メールへの対処については,「標的型攻撃メール<危機回避>対策のしおり(PDF)」などが発表されていますので,一度目を通しておくといいと思います。

情報セキュリティスペシャリスト試験では,標的型攻撃メールは最近の定番です。
去年は応用情報技術者試験にも出題されていましたし,他の区分でも出てきてもおかしくないと思います。

第2位は,「不正ログイン・不正利用」でした。
最近,パスワードの使い回しをしていると,1つのサービスが破られると,他のサービスに派生するという被害が相次いでいます。
サイトごとに異なるパスワードにするというのは,より重要になっているセキュリティ対策です。

その他,だいたい定番の脅威がいろいろ並んでいますが,新しいところでは第6位の,「SNSへの軽率な情報公開」というのがあります。

従業員が公開したTwitterの写真で店が閉店に追い込まれたり,Facebookで個人情報を公開しすぎてしまったり,といった問題は相次いでいます。
このあたりは,現実的に自分が注意した方がいいところでもありますし,セキュリティ管理者的には,従業員がやらないように教育することも大切です。

セキュリティの脅威や攻撃は,日々新しくなっています。
毎日ちょっとずつだとなかなか気づきづらいのですが,5年前と今とでは,情報セキュリティの脅威の大きさは比べものにならないくらい大きくなっていますし,技術も進歩しています。

時代の流れに合わせた新しい情報を入手して,日々スキルアップしていきましょう。