減らないセキュリティ被害　初心者情シス担当でも社内でスムーズに対策を進めるコツをIPAが紹介

情報処理推進機構（IPA）は2月29日、「情報セキュリティ10大脅威 2024」の解説書を公開した。公開された資料は以下の通り。

• 「情報セキュリティ10大脅威 2024」（92ページ）
• 「情報セキュリティ10大脅威の活用法 2024」（16ページ）
• 「情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策」（19ページ）

「情報セキュリティ10大脅威2024」でもトップに上がったランサムウエアのように、直近でも企業の情報セキュリティに関する被害報告が相次いでいる。IPAでは「10大脅威」の順位にとらわれず、それぞれの企業が自社にとって関連性と重要度の高い脅威を認識した上で、これらの解説書を 「情報セキュリティ対策の基本」として活用してほしいと呼び掛ける。

「全てを理解するのは難しい」、「セキュリティ対策に十分な予算がない」という担当者には、個々の脅威の解説と対策までを詳細に解説する本編のほかに、「情報セキュリティ10大脅威の活用法 2024」（以下、「活用法」）が用意されている。

目的の明確化から、予算を考慮し対策に踏み込むまでの手順

「活用法」では、10大脅威にランクインした脅威だけでなく、ランク外や過去の事例などからも、まずは自社にとって重要な脅威を抽出し、対策候補を洗い出すこととしている。その上で予算などを考慮し、実施する対策を選択していく。手順は、以下の通り。

1.自社の「守るべき情報」は何か明確に　他部署との連携も欠かさずに

まずは、脅威と対策の検討に先立って、自社がサイバー攻撃の被害を受けたくない情報は何かを明らかにする。一般的には、以下の情報などが該当する。

• 自組織の「業務プロセス」
• 自組織が保有する重要な「情報」や「データ」
• 「業務プロセス」を実現し、重要な「情報」や「データ」を保護するための「システム」やシステムを用いて提供される「サービス」
• 「システム」や「サービス」を構成する「機器」
• その他、守るべきもの

具体的には、製品開発や取引先との受発注業務に使用している社内ITシステム、それらが保有している情報などがリストアップされる。実際には、業務用のシステムなどITシステム管理部門がすべてを把握しているとは限らないため、社内で横断的な連携が必要な場合もある。

2.自組織に対する脅威をリストアップ、被害額を算出して優先順位を明確にする