情報セキュリティ白書とは何か徹底解説！

IT技術が発展する現代では、情報セキュリティ上の脅威も深刻化しています。
IPA（情報処理推進機構）は、最新の攻撃手法、情報セキュリティ対策の収集・分析結果を「情報セキュリティ白書」として毎年発行しています。そんなIPAが発行している情報セキュリティ白書とは何か、最新の情報セキュリティ白書から分かる日本のセキュリティ対策の現状を解説します！！

そもそもセキュリティ白書とは何か

情報セキュリティ白書とは、情報セキュリティの最新情報等、セキュリティに関係する状況をまとめた書籍です。主に、企業や何かの組織でシステムを管理している人や、セキュリティに関心のある人向けに作成されています。情報セキュリティの最新の情報、サイバー攻撃の手法や手口など詳しく記載されているのでシステムの業務を行う人にとっては、非常に有益です。情報セキュリティ白書を通じて情報セキュリティに対する認識を高めることができます。

発行元のIPAについて

情報セキュリティ白書を発行元は、IPA（独立行政法人情報処理推進機構）です。IPAの主な活動目的の一つに、情報セキュリティ対策を実現する事があります。IPAは技術革新の影響で発生してきた社会課題に対応するため、情報セキュリティへの対策を促進しています。

情報セキュリティ白書の概要

情報セキュリティ白書では、標的型攻撃、DDos攻撃、内部発行などのセキュリティ脅威と対策方法について、国内や国際的に行われているセキュリティ対策や啓蒙活動の動向について、制御のシステムやIoTやクラウドに関するセキュリティについてなど、セキュリティに関連する様々な内容が記載されています。そんな情報セキュリティ白書について、詳しく内容を見ていく前に、情報セキュリティを取り巻く現状や背景などを見ていきましょう。

情報セキュリティの背景

1．詐欺被害の増加

IPAは、2017年4月にビジネスメールの詐欺に関する注意喚起を行いました。また、2018年7月には日本語メールによる攻撃事例の発生を確認しています。このような詐欺被害を抑えるため、情報セキュリティ白書では、ビジネスメール詐欺の最新の事例や手法をまとめた解説を見ることができます。不正アクセスへの対策やウイルスへの対策など、会社のチェック体制を整えるための重要情報を得ることができます。

2．ランサムウェア被害件数の増加

IPAには本来のランサムウェアよりも危険な「WannaCryptor」という名のランサムウェアについての相談が多く寄せられています。今までのランサムウェアの感染経路はメールやウェブサイトが主でした。しかし、WannaCryptorはネットワーク経由で感染が広がるので、対策を施さないとさらなる被害が発生してしまうでしょう。

3．ソフトウェアの脆弱性

2017年に、多くのWebサーバーで利用されているソフトウェアフレームワークのWindowsやApache Struts2に存在する脆弱性に対しての攻撃が報告されました。
特に、Apache Struts2の脆弱性を利用した攻撃では、総務省やプロバスケリーグのB.LEAGUEサイトなど、多くの個人情報を保有するWebサイトが攻撃され、個人情報が漏洩した可能性が指摘されています。

4．仮想通貨の脅威

独自仮想通貨の発行やブロックチェーン技術の研究など、企業の仮想通貨への取り組みが着実に行われています。しかし、2018年1月に、仮想通貨「NEM」が不正流出したことによって、仮想通貨のセキュリティ上の問題点が議論されるようになりました。仮想通貨はセキュリティに関係する技術的な課題が独特なため対応が困難なこと、仮想通貨が広がるスピードに管理体制が追いついていないことが原因と考えられています。

情報セキュリティ白書の内容

情報セキュリティ白書には、上記のような実際の被害や脅威、脆弱性だけではなく、実際の対策を強化する取り組みに関しても言及しています。

1．セキュリティ対策強化の取り組み

サイバー空間と現実の空間との幅が縮まると共にセキュリティ問題が深刻になったことで、政府は新しくサイバーセキュリティ戦略を策定しました。サイバーセキュリティ戦略の軸として挙げられているのが、「任務保証」「リスクマネジメント」「参加・連携・協同」の3つです。これら3つの観点を重視した取り組みを実行し経済の持続的な発展を目指しています。

2．サイバーセキュリティ経営ガイドライン

サイバーセキュリティを強化することは、企業がITを利用してビジネスを行う上で欠かせません。経営者は企業のセキュリティを確保し従業員のセキュリティ意識を高めることが求められます。そんな経営者のために、サイバーセキュリティ経営ガイドラインを公表しました。また、ガイドラインだけではなく、具体的な対策の実行手順や検討するポイントをまとめた解説書も発行しています。ガイドラインと解説書の双方を基に、セキュリティ対策を施せば、リスク管理体制を整えることができます。

3．国外のセキュリティの動向

2017年にランサムウェア「WannaCryptor」による大規模サイバー攻撃により、このような被害が全世界で報告されるようになりました。そのため、各国のCSIRTの役割がより一層、重要視されるようになりました。CSIRTとは、コンピュータに関わる問題やリスクに対応するための組織です。CSIRTは、基本的に国内のセキュリティ問題を解決するために活動しています。しかし、世界的にランサムウェアによる被害が拡大したことにより、各国のCSIRTが連携するようになりました。

4．セキュリティ人材の育成

IPAは、2017年4月に「産業サイバーセキュリティセンター（ICSCoE）」を発足させました。産業サイバーセキュリティセンターは、制御技術と情報技術の知識と実際の技術とを結集させた、サイバーセキュリティ対策の中心となる拠点となっています。
また、サイバーセキュリティへの助言・提案をすることができる国家資格である「情報処理安全確保支援士」の登録が開始となりました。情報処理安全確保支援士の資格はサイバーセキュリティに関する専門的な知識・技能を用いて企業や組織における安全安心な情報システムの企画・設計・開発・運用を支援し、助言を行う者に与えられます。　
このICSCoEと情報処理安全確保支援士の資格取得が推進されることで優秀なセキュリティ人材の育成につながります。

5.制御システムのセキュリティリスク分析ガイド

制御システムのセキュリティ対策をする上で、リスク分析は非常に大切です。しかし、具体的なリスク分析の方法がわからない場合や、リスク分析にかかる時間が膨大な場合が多く、あまり浸透していませんでした。この状況を改善しようと、IPAは「制御システムのセキュリティリスク分析ガイド」を作成しました。この分析ガイドでは、脅威、脆弱性、資産の重要度、事業被害の4つの評価指標について3段階での評価を行い、リスク分析を行うことができます。具体的な例を挙げて説明されているので、リスク分析をはじめて行う方にも適用です。

6.中小企業のセキュリティ対策

中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度を、「SECURITY ACTION」と言います。この宣言をした中小企業は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」を基に、2つの目標を設定しています。一つ目は、情報セキュリティ白書の付録にある「情報セキュリティ5か条」に取り組むことです。そして、二つ目は、同じく付録である「5分でできる！情報セキュリティ自社判断」を通じて、自社のセキュリティ状況を把握し基本方針を策定し、外部へ公開することです。

情報セキュリティ白書2022から見る日本のセキュリティ対策の現状

ここで最新の情報セキュリティ白書である、IPA情報セキュリティ白書2022の内容を紹介します。この白書では、前述のように情報セキュリティに関する様々な内容が記載されています。この白書の二章の中盤では、日本、アメリカ、オーストラリアの三ヵ国のセキュリティ対策への取り組み状況の比較が取り上げられました。セキュリティの世界の動きの中で現在、日本はどのような立ち位置にいるのか見ていきましょう！

セキュリティ対策に遅れをとる日本の現状

IPA情報セキュリティ白書2022には日本とアメリカ、オーストラリアの企業に対して行われたアンケート結果の一部が掲載されています。その結果から、日本は他2か国と比較してセキュリティへの対策に関して出遅れているようです。

サプライチェーンに対するセキュリティ対策について

日本はオーストラリアとアメリカと比較して、

• サプライチェーンへのセキュリティ統制が取られていないこと
• 協力企業へのセキュリティに対する働きかけが弱いこと

がアンケート調査の結果から分かります。
実際に、これまでもデンソーやトヨタ系のサプライチェーンがハッカー集団に襲撃される事件が多く発生しており、サプライチェーンを構成する企業間のセキュリティ対策状況の把握、セキュリティ基準に満たない企業への改善要求を行う等の対策をおこなわなければなりません。

セキュリティ管理体制について

組織のセキュリティ管理体制の状況についても、日本はオーストラリアとアメリカと比較して進んでいないことがIPA情報セキュリティ白書2022から分かります。まず、CISO（最高情報セキュリティ責任者）を設置している企業の割合が、日本46.1％なのに対して、オーストラリアとアメリカでは90％以上となっています。CISOは情報セキュリティに関する統括責任者を指し、セキュリティ対策の責任を担います。情報セキュリティ事故が発生した場合、情報システム部門などではできないような経営判断を適切に行う必要があります。
そして、不足するセキュリティ人材の種別に対しても、アメリカとオーストラリアは日本よりも経営層のセキュリティへの関与やセキュリティインシデントが発生した際、迅速かつ適切な経営判断を行うことを重視しており、万一の事態を想定した体制を整ていると考えられます。

セキュリティ対策に強い組織になるためには

これまでの説明の通り、日本のセキュリティ対策の状況は国際的に見て進んでおらず、サイバー攻撃などのセキュリティインシデントへの対応力が他の国と比較して弱いと推察されます。特に現代ではサイバー攻撃がより頻発し、セキュリティ事件・事故は決して他人事ではない状況です。この状況の中で、セキュリティに強い組織になる事が求められています。白書ではこのような組織になるために必要なガイドラインなどの資料も紹介されています。

まとめ

情報セキュリティ白書と最新の情報セキュリティ動向に関して、ご理解いただけましたでしょうか。
情報セキュリティの動向は日々刻刻と変化しており、企業の成長には情報セキュリティ対策を行うことが欠かせません。そこでおすすめなのが、プライバシーマークやISMS認証を取得する事です。このいずれかを取得することで情報セキュリティの強化を図ることができます。

弊社（株式会社UPF）には、業界No.1を誇る実績に基づく、プライバシーマーク、ISMS認証取得のノウハウがございます。
ISMS認証マークの取得でお困りの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。