1.そもそも情報セキュリティ白書とは？

情報セキュリティ白書とは、情報セキュリティに関する最新情報など、セキュリティ関連全般の状況をまとめた書籍です。主に、企業や何らかの組織でシステムを管理している人や、セキュリティに関心のある人に向けて作られています。セキュリティに関する出来事や異変、サイバー攻撃の手口などが詳しく記載されているため、システムに関する業務を行う人にとっては、非常に有益といえるでしょう。

もちろん、普段スマートフォンやパソコンを使って簡単な作業をするだけという人でも理解できますし、役に立つ情報がまとめられています。個人情報の流出など、情報セキュリティに関する脅威はどんな人も遭遇する可能性があるでしょう。そのため、身近な情報セキュリティに対しての関心は、誰もが持っておくべきといえます。情報セキュリティ白書は、情報セキュリティに関する認識を高められる書籍としても活躍しているのです。

2.発行元のIPAとは？

情報セキュリティ白書を発行しているのは、独立行政法人情報処理推進機構 （IPA）です。IPAの主軸事業の1つに、情報セキュリティ対策の実現があります。ITが発達するに従って、重要なデータなどを守るセキュリティの強化も重要な課題となってきました。IPAは、技術革新によって発生する社会課題を解決するための手段として、情報セキュリティ対策を促しているのです。また、IPAは技術力の高い優れたIT人材を育成することにも取り組んでいます。

サイバーセキュリティに関する技術や知識が豊富な人材を育成し、ITを取り巻く社会の安全を守ることも、IPAの重要な事業です。また、ITイノベーションに長けた人材を育て、IT社会に新たな流れを作ることにも一役買っています。IPAは、情報セキュリティスキルとITに関する革新的なアイデアを持った人材を育てているのです。そして、これらの業務は、IT社会の動向調査や分析、基盤構築を目的として行われます。IT社会に必要なものはなにかをしっかりと把握して柔軟に対応できることが、IPAの強みです。

3.情報セキュリティ白書の概要

3-1.白書の概要1.詐欺被害の増加

IPAは、2017年4月にビジネスメール詐欺について注意喚起を行いました。さらに、2018年の7月には日本語メールによる攻撃事例を確認しています。具体的には、本物のCEOと同じ名前とメールアドレスを使い、偽の弁護士の存在を文面に記しながら送金を要求するというものです。これまでビジネスメールの大半は英語によるものでした。しかし、日本語のビジネスメール詐欺が確認されたことから、海外との取引がない国内企業なども被害にあう可能性がでてきたのです。

もし対策を取らなければ、国内の企業や組織の被害は広がるばかりでしょう。こういった詐欺被害を少なくするために、情報セキュリティ白書ではビジネスメール詐欺の新たな事例や手口をまとめた解説を見ることが可能です。ウイルス対策や不正アクセス対策など、会社のチェック体制を整えるための重要な情報を得ることができるでしょう。また、普段と違うメールが送られてきた場合は必ず社内のセキュリティ管理部門などと相談することなど、職員自身が気を付けるポイントなども記載されています。

3-2.白書の概要2.ランサムウェア被害件数の増加

IPAには、従来のランサムウェアよりも危険な特徴を持った「WannaCryptor」というランサムウェアに関する相談が多数寄せられています。今までのランサムウェアの感染経路は、メールやウェブサイトが中心でした。しかし、WannaCryptorはネットワーク上から感染が拡大する特徴があるため、対策しなければさらなる被害の拡大が予想されるところです。情報セキュリティ白書では、WannaCryptorなどの危険なランサムウェアから会社の情報を守るためのセキュリティ環境について紹介しています。

WannaCryptorの被害にあわないためには、パソコンのアップデートを行ったりファイアウォールの設定を行ったりしなければなりません。また、パソコンをルーターを経由せずに直接インターネットに接続している環境も危険です。WannaCryptorはネットワーク上から感染するため、セキュリティ対策を行わなければパソコンをインターネットに接続しているだけで感染してしまう可能性があります。

3-3.白書の概要3.ソフトウェアの脆弱性

2017年に、多くのWebサーバーで利用されているソフトウェアフレームワークであるWindows やApache Struts2に存在する脆弱性をターゲットにした攻撃が報告されました。とくに、Apache Struts2の脆弱性を利用した攻撃では、総務省やB.LEAGUEサイトなど、多くの個人情報が記録されているWebサイトが攻撃され、個人情報が漏えいした可能性が指摘されています。また、Windows サーバーの脆弱性を狙った攻撃では「EternalBlue」というツールが使われ、数多くのウイルスが確認されてきました。

情報セキュリティ白書では、ソフトウェアの脆弱性を解決する方法をいくつか解説しています。例えば、ソフトウェアを適宜アップデートすることによって、脆弱性を解消することが可能です。また、修正プログラムをすみやかに適用することで、悪質な攻撃からサーバー、ソフトウェアを守ることができます。すぐに修正プログラムを適用できない理由があるなら、不正アクセスを防ぐサービスであるIPSやWAFなどで防御する方法も有効でしょう。

3-4.白書の概要4.仮想通貨の脅威

独自仮想通貨の発行やブロックチェーン技術の研究など、企業の仮想通貨に関する取り組みが着実に進められています。その一方で、2018年の1月に仮想通貨「NEM」が不正に流出したことにより、仮想通貨を取り巻くセキュリティ上の問題点が議論されるようになりました。仮想通貨はセキュリティに関する技術的な課題が非常に独特であり、対応が難しいことが流出の原因の1つとして挙げられています。また、仮想通貨を扱う事業者や政府がスピーディに広がっていくビジネス追いつけず、管理体制を十分に整えることができなかったことも大きな原因でしょう。

情報セキュリティ白書でも仮想通貨のセキュリティに関して問題提起しています。仮想通貨の不正移転や取引遅延などのネットワークリスクなど、仮想通貨特有の問題に対しての対策や課題を知ることができるでしょう。もちろん、その他のサイバー攻撃やサイバー詐欺などの一般的な脅威についても、仮想通貨のセキュリティと合わせて学ぶことができます。

3-5.白書の概要5.セキュリティ対策強化の取り組み

情報セキュリティ白書では、政府のセキュリティ対策を強化する取り組みについても解説しています。サイバー空間と実空間の幅が狭まるとともに深刻化したセキュリティ問題の深刻化を受けて、政府は新たなサイバーセキュリティ戦略を打ち出しました。次期サイバーセキュリティ戦略の柱として挙げられるのが「任務保証」「リスクマネジメント」「参加・連携・協同」の3つです。これら3つの観点を重視した取り組みを実行し、サイバー空間における安全を確保して、経済の持続的発展を目指します。

これまでも政府はリスクアセスメント手引書の公表や分野横断的演習、セプター訓練などを実施してきました。新たなサイバーセキュリティ戦略においても、セキュリティを強化する有効な取り組みを行い、官民のサイバーセキュリティに対する能力は強化されていくでしょう。

3-6.白書の概要6.サイバーセキュリティ経営ガイドライン

サイバーセキュリティを強化することは、企業がITを活用してビジネスを展開するうえで必要不可欠といえるでしょう。経営者には、企業のセキュリティを確保したり自分の企業に勤める人のセキュリティに関する意識を高めたりする責任があります。しかし、いざセキュリティ対策に取り組もうと思っても、何をすればよいかわからない人もいるでしょう。IPAは、セキュリティに関する知識がない経営者のために、サイバーセキュリティ経営ガイドラインを公表しました。

また、IPAはガイドラインと合わせて、具体的な対策の実施手順や検討のポイントをまとめた解説書も発行しています。ガイドラインと解説書を合わせてセキュリティ対策に取り組めば、リスク管理体制を整えることができるでしょう。もちろん、経営者だけでなく、従業員などもセキュリティリスクをしっかりと把握しなければなりません。組織全体のセキュリティに対する意識を改善し、サイバー犯罪などの脅威に立ち向かう必要があります。

3-7.白書の概要7.国外のセキュリティ動向

ランサムウェアに感染すると、データファイルが利用できなくなったり、不当に金銭を要求されたりします。2017年にランサムウェア「Wanna Cryptor」によって引き起こされた大規模なサイバー攻撃によって、こういった被害が全世界で報告されました。そして、同時多発的なインシデントが全世界で巻き起こったことにより、各国のCSIRT の役割が一層重要視されるようになったのです。CSIRTとは、コンピュータセキュリティーに関わる問題やリスクに対応するための組織になります。日本にも日本シーサート協会があり、サイバー攻撃の脅威に対処するべくさまざまな取り組みが行われてきました。

基本的に、各国のCSRITは国内のセキュリティ問題に目を向けて活動しています。しかし、世界的にランサムウェアの被害が広がったことにより、それぞれの国のCSRITが連携することが重要になってきました。アジアでは、日本を含む各国のCSIRTが連携して演習や情報共有を積極的に行っており、一層セキュリティ強化を進めています。

3-8.白書の概要8.セキュリティ人材の育成

IPAは、2017年の4月に「産業サイバーセキュリティセンター（ICSCoE）」を発足させました。ICSCoEとは、制御技術（OT）と情報技術（IT）の知識と技術を結集させた、サイバーセキュリティ対策の中核となる拠点です。ICSCoEを使い、OTやIT双方のスキルを持った産業サイバーセキュリティ人材を育成するためのプログラムが開始されました。このプログラムでは、サイバーセキュリティ対策の必要性を把握し、プロジェクトを推進していく力を養うことが目指されます。

また、サイバーセキュリティへの助言や提案を行うことができる国家資格「情報処理安全確保支援士」の登録が始まりました。情報処理安全確保支援士の資格は、サイバーセキュリティに関する実践的な技術や豊富な知識を持つ専門家の育成と確保が目的となります。ICSCoEと情報処理安全確保支援士の資格取得の推進によって、優秀な情報セキュリティ人材の育成と、組織における情報セキュリティの強化が期待できるでしょう。

3-9.白書の概要9.制御システムのセキュリティリスク分析ガイド

制御システムのセキュリティ対策をするうえで、リスク分析は非常に重要です。しかし、具体的なリスク分析方法がわからなかったり時間がかかりすぎたりして、あまり浸透していませんでした。この状況を改善するために、IPAから「制御システムのセキュリティリスク分析ガイド」が作成されています。ガイドでは、リスク分析を行うのに必要な脅威、脆弱性、資産の重要度、事業被害の4つの評価指標について、詳しく学ぶことが可能です。リスク分析は、それぞれの評価指標について3段階で評価を行い、その評価に基づいて行われます。

また、リスク分析ガイドではそれぞれの評価指標について検討例を提供しているため、分析に慣れていない状態でも手を付けることができます。そこから各事業や組織に合った方法にカスタマイズすれば、より効果的なリスク分析をすることができるでしょう。

3-10.白書の概要10.中小企業のセキュリティ対策

中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度が、「SECURITY ACTION」です。SECURITY ACTIONを宣言した中小企業は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」をベースにして、取り組み目標を2つ設定します。1つ目は情報セキュリティ白書の付録である「情報セキュリティ5か条」に取り組むことです。そして、同じく付録である「5分でできる！情報セキュリティ自社診断」で状況を把握して基本方針を定め、外部に公開することが2つ目の目標になります。

情報セキュリティ対策ガイドラインを利用すれば情報セキュリティ対策の考え方や実践方法について知ることができるでしょう。そのうえ、SECURITY ACTIONの目標をクリアすれば、専用のロゴマークを使うことができます。情報セキュリティの強化ができるうえに、企業の信頼性も向上するのです。

4.現状の問題点や課題を確認してみよう

情報セキュリティ白書にはセキュリティ上の問題点や企業が取り組むべき課題について、詳細に記載されています。企業の重要なデータを守りたいという人にとっては、必須の書籍です。また、ダウンロードできるPDF版も公開されているので、読みこんでセキュリティに関する知見を深めましょう。