IPA(独立行政法人情報処理推進機構)は、2009年の1年間のIPAへの届出情報や一般に報道された情報を基に、「2010年版 10大脅威 あぶり出される組織の弱点!」をまとめ、このほど同社のウェブサイトに公開した。それによると、2009年には、「ガンブラー(Gumblar)」と呼ばれる手口(攻撃手法)を始めとした、様々な情報ネットワーク関連の事件・事故が発生した。
また、某大手企業で情報窃取が発生し、その被害額が約70億円にのぼると試算した報道があるなど、「内部犯罪」による事故も発生した。内部犯罪による情報窃取という脅威は、外部からの攻撃による脅威に比べて、重要な情報を窃取される可能性が高まる。重要な情報に対しては、システム的なアクセス制御等に加え、物理的な入退室管理等も重要になると指摘している。
これらのセキュリティ対策を進める際には、脅威が自組織に及ぼすビジネスインパクトを分析し、適切な対策をしていく必要がある。また、セキュリティ対策は、事件・事故の発生の抑制や被害を最小限に抑え事業継続を実現する「事前対策」の観点と、事故が発生したとしても被害を最小限に抑え、早期復旧を実現する「事後対応」の二つの観点も忘れずに考える必要があるとしている。
「10大脅威 あぶり出される組織の弱点!」の第1位は「変化を続けるウェブサイト改ざんの手口」で、ウェブサイトを閲覧しただけで、利用者がウィルスに感染することがあるが、このような脅威をもたらす攻撃に新しい手口が現れた。第2位は「アップデートしていないクライアントソフト」で、2009年も、ソフトウェアの脆弱性が攻撃に悪用されたが、利用者側のアップデートが徹底されていれば、被害を減らせたはず、とみている。
第3位は「悪質なウイルスやボットの多目的化」で、ウイルスやボットは利用者にとって身近な脅威であり、これらには多様な目的があるが、2009年にはウイルスの亜種が爆発的に増加した。第4位は「対策をしていないサーバー製品の脆弱性」で、サーバー製品の脆弱性対策を行わずに運用しているウェブサイト等の存在が明らかになっているという。
以下、10位までは下記から。↓
http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf