はじめに:2020年という転換点
日本のITセキュリティ実務者にとって、2020年は記憶に残る年となりました。世界的なパンデミックに伴うテレワークへの急速な移行により、企業のネットワーク境界は崩壊し、攻撃者のターゲットも大きく変容しました。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2020」は、まさにこの過渡期におけるリスクを浮き彫りにしたものです。本稿では、当時の脅威動向を振り返りつつ、現代のセキュリティ実務においても依然として重要であるこれらの脅威に対する、現実的な防御戦略を解説します。
情報セキュリティ10大脅威 2020の構成
IPAが発表した2020年版の10大脅威は、組織向けと個人向けに分かれています。組織向けに焦点を当てると、当時のランキングは以下の通りです。
1位:情勢の変化を悪用した攻撃
2位:標的型攻撃による機密情報の窃取
3位:ビジネスメール詐欺(BEC)による金銭被害
4位:ランサムウェアによる被害
5位:サプライチェーンの弱点を突いた攻撃
6位:内部不正による情報漏えい
7位:予期せぬIT基盤の脆弱性対策の不備
8位:脆弱性対策情報の公開に伴う悪用増加
9位:サービス妨害攻撃(DoS/DDoS攻撃)によるサービス停止
10位:IoT機器の脆弱性の顕在化
これらの脅威は、現在においてもその本質は変わっていません。むしろ、クラウド利用の拡大やDXの進展により、攻撃の複雑性は増しています。
主要な脅威に対する技術的アプローチ
ここでは、特に実務現場で対応が急務であった脅威に焦点を当て、具体的な技術的対策を検討します。
1. ビジネスメール詐欺(BEC)への防御
BECは、巧妙なソーシャルエンジニアリングを駆使し、経営層や取引先になりすまして送金を指示する攻撃です。技術的には、メールの認証プロトコルの導入が不可欠です。
具体的には、SPF、DKIM、DMARCの導入を推進する必要があります。これらはメール送信ドメインを認証し、なりすましメールを検知・排除するための仕組みです。
以下は、DNSレコードにおけるDMARC設定の例です。
v=DMARC1; p=reject; rua=mailto:security-report@example.com;
この設定により、認証に失敗したメールを拒否(reject)し、そのレポートを管理者に送付することが可能になります。しかし、技術的な対策だけでは不十分であり、送金時のマルチファクタ認証(MFA)を伴う承認フローの確立が、実務上の最重要事項となります。
2. ランサムウェアへの備えとバックアップ戦略
2020年当時は、ランサムウェアが単なる「暗号化」から「データの窃取と公開を脅迫材料にする」という二重脅迫型へと進化した時期でした。これに対する防御の要諦は、単なるバックアップではなく「不変性(イミュータビリティ)」の確保です。
バックアップデータがネットワーク経由で書き換え可能であれば、攻撃者はバックアップ自体を破壊します。そのため、クラウドストレージのオブジェクトロック機能や、物理的に切り離されたオフラインバックアップの運用が必須となります。
また、エンドポイントにおける検知と対応(EDR)の導入も、ランサムウェアの初期侵入を封じ込めるために極めて重要です。
3. サプライチェーン攻撃への対策
サプライチェーン攻撃は、セキュリティレベルが比較的低い中小企業や子会社を足掛かりに、メインの標的である大企業へ侵入する手法です。実務において、自社のセキュリティを固めるだけでなく、委託先やサプライヤーのセキュリティ評価を行う必要があります。
具体的には、以下の項目を定期的に確認することが求められます。
・委託先のセキュリティポリシーの策定状況
・脆弱性管理およびパッチ適用プロセスの透明性
・インシデント発生時の連絡体制と初動対応フロー
脆弱性管理の自動化と実務への適用
10大脅威の7位や8位に挙げられている通り、脆弱性の放置は致命的なリスクです。しかし、手動での管理には限界があります。現代のセキュリティ運用においては、資産管理ツールと脆弱性スキャナを連携させ、ライフサイクルを自動化することが推奨されます。
以下は、Pythonを用いた脆弱性スキャン結果の簡易的なフィルタリング処理の概念例です。
import json
def filter_critical_vulnerabilities(scan_results):
critical_issues = []
for item in scan_results:
if item.get(“severity”) == “Critical” and item.get(“patch_available”) == True:
critical_issues.append(item)
return critical_issues
実際の運用ではAPI経由でデータを取得し、Jiraなどのチケットシステムへ自動連携する
scan_data = [{“id”: “CVE-2020-XXXX”, “severity”: “Critical”, “patch_available”: True}]
print(filter_critical_vulnerabilities(scan_data))
このように、検知からパッチ適用のチケット発行までを自動化することで、人的ミスを減らし、脆弱性対応のスピードを向上させることができます。
組織文化としてのセキュリティ
技術的な対策をどれだけ強固にしても、組織の構成員がセキュリティ意識を欠いていれば、防壁は簡単に突破されます。2020年の「情勢の変化を悪用した攻撃」の多くは、テレワークによる孤独感や情報共有の停滞を突いたものでした。
実務者は、単にツールを導入するだけでなく、セキュリティを「生産性を阻害するもの」ではなく「ビジネスを継続させるためのインフラ」として社内に浸透させる役割が求められます。定期的なセキュリティ教育に加え、フィッシングメール訓練などを通じて、組織全体の「免疫力」を高めることが重要です。
ゼロトラストアーキテクチャへの移行
10大脅威の総括として言えることは、従来の境界防御(境界の内側は安全という考え方)は限界を迎えているということです。2020年以降、セキュリティの潮流は「ゼロトラスト」へと完全にシフトしました。
「決して信頼せず、常に検証する」という原則に基づき、すべてのアクセスを認証・認可の対象とすること。デバイスの状態(パッチ適用状況、ウイルス対策ソフトの稼働状況)をチェックした上で、必要最小限の権限のみを付与する「最小特権の原則」を徹底すること。これらが、2020年の教訓を経て、現代のセキュリティ実務のスタンダードとなっています。
結び:過去から学び、未来に備える
情報セキュリティ10大脅威 2020の内容を振り返ることは、単なる過去のアーカイブではありません。攻撃者の手口は常に進化していますが、その攻撃の「根拠」や「狙い」は不変です。
・人への攻撃(ソーシャルエンジニアリング)
・脆弱性の悪用(システム管理の不備)
・サプライチェーンの弱点(信頼関係の悪用)
これらを深く理解し、多層防御の考え方に基づいた対策を講じることが、組織のレジリエンスを高める唯一の道です。ITセキュリティ実務者である私たちは、常に最新の脅威動向をキャッチアップし、技術とプロセスの両面から、堅牢なビジネス環境を構築し続ける責任があります。
2020年の脅威が教えてくれたのは、セキュリティは一過性のプロジェクトではなく、継続的なプロセスであるということです。この教訓を胸に、日々変化するサイバー空間での戦いに臨んでいきましょう。
コメント