セキュリティ監査人協会 監査人の警鐘- 2024年 情報セキュリティ十大トレンド (2024.01.09)
こんにちは、丸山満彦です。
JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンドを発表していますね。。。
AIの脅威...がトップなんですが、具体的な脅威がそれなりの確度で起こるということよりも、新しい脅威に対する漠然とした不安的な要素が強いのかもしれませんね。。。
・2024.01.09 監査人の警鐘 – 2024年 情報セキュリティ十大トレンド
ちなみに過去分は2018年からあります。。。
傾向としてはこんな感じ?
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.07 JASA 監査人の警鐘- 2023年 情報セキュリティ十大トレンド
・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド
生データ
| 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | 2024 | |||||||
| 1 | 多様化・巧妙化するランサムウェアの被害拡大 | (-) | 仮想通貨の盗難、詐欺の拡大 | (-) | 自然災害によるIT被害の拡大 | (5) | テレワークニーズに追いつかないセキュリティ対策 | (1) | 緊急コロナ対策からWithコロナへ()業務優先で後回しにしたセキュリティの再点検 | (14) | 大規模社会インフラシステム障害により増大するサイバーリスク | (-) | 生成AIの悪用と誤用により増加するセキュリティ事故 |
| 2 | 最新の対策もすり抜ける標的型攻撃による甚大な被害の発生 | (2) | 巧妙化する標的型攻撃による被害の甚大化 | (10) | クラウド・バイ・デフォルト時代の新しい安全性評価制度の開始 | (1) | 史上最悪の天災やパンデミックなどに対応できるIT-BCPへ | (6) | 多様化するワークスペースに対応するセキュリティ対策 | (3) | ITサプライチェーンの統制強化 | (3) | 他人事ではありません。日常化するランサムウェア被害 |
| 3 | セキュリティ機能が乏しいIoT製品への攻撃による社会的混乱 | (3) | 家庭用IoT機器のセキュリティ不備によるプライバシー侵害の更なる拡大 | (-) | クラウドサービスの障害による大規模なビジネス影響 | (2) | 止まらない、安全なクラウドサービスへ広がる要求 | (11) | ICTサプライチェーンにおける情報セキュリティリスクの増大 | (12) | サイバーランサムによってあぶりだされる「怠け者システム管理者」や「ダメ経営者」 | (9) | 国家支援型組織によるサイバー攻撃の深刻化 |
| 4 | クラウドなど集中管理による社会的規模の被害発生 | (6) | ビジネスメール詐欺被害の更なる深刻化 | (-) | DX化の進展によりさらに加速するセキュリティ人材不足 | (16) | 標的型攻撃の侵入パターンが多様化 | (6) | 広がるWeb会議利用の盲点(データ漏洩に注意) | (9) | クラウド障害による社会的影響の拡大 | (2) | 重要インフラを支える供給網(中小企業)がサイバー攻撃ターゲットに |
| 5 | 考慮不足の働き方改革に起因する事故の発生 | (5) | 働き方改革の推進普及による新たな脅威の発生 | (5) | 働き方改革の推進普及による新たな脅威の発生 | (3) | 頻発する大規模システム障害への対応 | (10) | ISMSからサイバーセキュリティ対策マネジメントへ | (7) | 要注意!大事故につながるクラウドサービスのユーザ設定不備 | (-) | 重要性が高まる事前評価, 生成AIのリスク |
| 6 | 日本語ビジネスメール詐欺被害の拡大 | (-) | 時代遅れとなりつつあるパスワード認証 | (-) | プライバシー保護の国際標準化に乗り遅れる日本企業 | (-) | 在宅勤務のセキュリティ対策に求められる説明責任 | (18) | 個人データ活用におけるビジネスとプライバシーの対立 | (2) | 働き方改革に追いつかない組織管理 | (5) | クラウド設定不備によるセキュリティ事故の多発 |
| 7 | ガバナンス欠如のIT投資による重大インシデントの発生 | (10) | GDPRを乗り越えても残る諸外国のプライバシー規制リスク | (-) | サプライチェーンの透明化で求められるセキュリティ対策の強化 | (8) | 手法の高度化が進む金銭目的のサイバー攻撃 | (-) | クラウドの仕様変更への対応不備によるセキュリティ事故 | (-) | 待ったなし!中小企業のセキュリティ対策 | (-) | 人材の流動化に伴う営業機密の流出増加 |
| 8 | 成長しないマネジメントシステムによる組織活力の低下 | (1) | 高度化するランサムウェアによる被害拡大 | (8) | 標的型ランサムウェアで倒産危機? システム全てが人質に | (-) | 在宅勤務者を踏み台にして組織を狙うフィッシング詐欺の横行 | (-) | 管理機能が攻撃対象に(社外端末によるシステム管理に潜む重大脆弱性) | (-) | ディープフェイク等高度化する虚偽情報を使ったネット詐欺に要注意 | (17) | 脆弱性管理体制の再検討の加速 |
| 9 | 形だけCSIRT/名ばかりセキュリティ人材による弊害の発生 | (-) | 問われるサイバーセキュリティ経営の責任体制 | (-) | クラウドサービスの管理・設定ミスによる情報漏洩 | (17) | EasyなネットサービスのEasyな拡大がなりすましの温床に | (3) | クラウド相互乗り入れ問題(バタフライエフェクトで自社の業務が停止する) | (-) | 経済安全保障上の観点からも重要なサイバー攻撃対策 | (3) | 止まらないランサムウェアの進化 |
| 10 | GDPR違反の摘発 | (-) | クラウドバイデフォルトの情報セキュリティ体系化 | (-) | 安易なアジャイル開発によるぜい弱なシステムの氾濫 | (-) | ニューノーマルに対応した新たな情報セキュリティ監査 | (-) | 気を付けよう外部サービスの穴 | (-) | オープンソースソフトウェアの脆弱性懸念に対するSBOM普及の期待 | (-) | 経営課題として浮上,サイバー人材育成 |
« 米国 ホワイトハウス 主要なAI行動を発表 | Main | 米国 NIST 意見募集 SP 1800-37(第2次初期ドラフト) エンタープライズにおけるTLS 1.3による可視性の課題への対応 »
Comments