IPA（独立行政法人情報処理推進機構）は、情報セキュリティにおける脅威のうち、2019年に社会的影響が大きかったトピックなどを「10大脅威選考会」の投票によりトップ10を選出し、「情報セキュリティ10大脅威2020」として順位を決定し、公表した。

「情報セキュリティ10大脅威 2020」は、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。
IPAが脅威候補を選定し、「10大脅威選考会^（*1）」が脅威候補に対して審議・投票を行い、決定したものである^（*2）。

個人については、7pay問題もあってか「スマホ決済の不正利用」が初登場1位に。スマホ決済サービスは、各社の相次ぐ新規参入と消費増税に併せた消費者還元事業（ポイント還元事業）が開始され、普及の追い風になった。しかし、7payでは決済方法の不備により、利用者が金銭被害に遭う事案が発生し、逮捕者も出たことは、企業システムをつかさどる情シスとしては「システムのセキュリティ設計」に関して身の引き締まる思いだったのではないだろうか。
その他はクレジットカードやインターネットバンキングの不正利用、フィッシング詐欺が上位に。ダークウェブで個人情報が売買される今の時代、一度漏れてしまった情報を手掛かりにさらなる犯罪につながる可能性があることも忘れてはならないだろう。

では、組織についてはどうだろうか。昨年のTop10に入っていないのは「予期せぬIT基盤の障害に伴う業務停止」であった。

＜画像出典：IPA＞

AWS東京リージョンで発生した大規模障害やMicrosoft AzureのDNS設定ミスによる障害、Google Cloud Platformの障害による複数サービスダウン、日本電子計算が提供する自治体向けIaaSサービスでのシステム障害など、クラウド大手を含み様々な業種でサービス停止が発生し業務に影響を与えたことは、「クラウドだから安全」ではないことを改めて感じさせたが、すでに後戻りする状況にはない。情シスはこのリスクとどう付き合っていくかを考える必要がある。

また、昨年の2位から5位にジャンプアップしたのは「内部不正による情報漏えい」である。

＜画像出典：IPA＞

内部不正というと組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の不正行為や組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失したことによる情報漏えいが主であった。しかしながら、神奈川県庁のHDD不正転売事件のようにPC処分業者が横領・転売するケースがあることも忘れてはならない。これは情シスの気が利いていれば最悪の事態は免れた可能性があるからである。
一つは、HDDのデータ暗号化である。仮に盗まれたとしてもデータを複合化することはほぼ不可能であり、情報は守れたのではないだろうか。
しかしながら、仮にアクセス速度の問題等で暗号化が難しいこともあるだろう。仮にRaid5などの構成を行っていれば、状況はまた違ったかもしれない。
このようなリスクを加味して情シスはIT資産のLife Cycle Managementを考えねばならない。

【執筆：編集Gp　ハラダケンジ】

本レポートは、IPA様の調査レポートを元に作成しております。
ソース：https://www.ipa.go.jp/security/vuln/10threats2020.html