時代とともに高度化・複雑化しているサイバー攻撃。求められるセキュリティ対策の方法や内容も時代によって大きく異なります。企業でサイバーセキュリティ部門に携わるなら、常にその時のトレンドや知識は押さえておきたいところでしょう。
以下では、サイバーセキュリティに関する近年のトレンドや知識について解説します。サイバーセキュリティにおけるトレンドを知りたい方はお役立てください。
情報セキュリティ10大脅威は、情報処理推進機構(IPA)が年に1回公開している報告書で、サイバーセキュリティの脅威についてまとめられています。前年度に影響が大きかったセキュリティインシデントの中から、メンバーが審議・投票を行った10の脅威を公開しています。
2024年版の報告では、特にランサムウェアによる脅威が上位にランクインしています。また、サプライの弱点を悪用した攻撃や、内部不正・APT攻撃による情報漏えいも問題になっています。
IPA「情報セキュリティ
10大脅威2024」とは?
サイバー攻撃の傾向などを詳しく見る
BCPは、地震など災害発生時に事業を継続させるための対策や計画を指す言葉です。IT分野においては、IT-BCPという概念が確立されており、サイバー攻撃など災害級の脅威への対策を目的にしています。
BCP対策は重要度が高く、企業の持続性にも大きな影響を及ぼします。特にサイバー攻撃はいつ起こるか分かりませんので、策定は必須と考えておくべきでしょう。システムの冗長化や、定期的なバックアップなど脅威への備えをおすすめします。
サイバーセキュリティにおける
BCP対策の必要性
について詳しく見る
ISMS(情報セキュリティマネジメントシステム)は、企業など組織・団体におけるセキュリティの管理・マネジメントの方法や仕組みを指します。サイバー攻撃など脅威に対する備えとして、機密性と完全性、可用性の3つを柱とした体制の構築が求められています。
ISMSは認証制度があり、取得することでセキュリティ管理の信頼性を外部へアピールできます。また、社員のセキュリティリテラシー向上にも寄与するでしょう。
ISMS
(情報セキュリティ
マネジメントシステム)
について詳しく見る
サイバーセキュリティ基本法は、国が定めたサイバーセキュリティに関する法律の一つです。サイバーセキュリティ施策の促進を基本的な柱としており、施策を促進するために必要な基本事項や国の責務などを規定しています。同法では、国民が自発的に対策を施し、体制を構築することも求めています。
サイバー攻撃へ備えるためには、民間レベルでもセキュリティ強化やインシデントへ対応する体制の確立が必要です。企業においては、社員へのセキュリティ教育の実施や、インシデントに対抗する組織の構築が求められるでしょう。
生成AIの発展により、サイバーセキュリティには新たな脅威がもたらされています。例えば、生成AIを活用したフィッシング詐欺やディープフェイクによる偽情報が、従来よりも巧妙で見破りにくいものとなっています。こうした脅威に対抗するため、ゼロトラストセキュリティの導入やAIベースの防御ツールが重要視されており、企業においても導入が進んでいます。生成AI時代には、従業員教育や最新技術の導入がサイバーセキュリティ強化の鍵となるでしょう。
生成AIがサイバーセキュリティにもたらす影響について詳しく見る
ランサムウェアは、被害者のデータを暗号化し、復旧のために金銭を要求するマルウェアです。暗号化型と恐喝型に分類され、近年は特に企業や公共機関が標的となるケースが増えています。主な感染経路にはフィッシングメールやリモートデスクトップの脆弱性があり、被害を防ぐにはネットワーク分離や定期的なバックアップが効果的です。また、ゼロトラストアーキテクチャや従業員教育によるセキュリティ意識の向上が重要です。
サイバーセキュリティ経営ガイドラインは、経済産業省が策定したもので、経営層がサイバー攻撃から企業の情報資産を守るために実践すべき方針を示しています。企業全体のリスク把握や対策の見直し、従業員教育の強化を重視しており、CISOの設置やサプライチェーン全体でのリスク管理といった具体的な重要項目が含まれます。また、インシデント対応計画や可視化ツールを活用し、企業全体でサイバーセキュリティを継続的に強化していくことが求められています。
金融庁のサイバーセキュリティガイドラインは、金融機関がサイバーリスクを管理し、セキュリティ対策を強化するための指針です。金融システムの信頼性向上を目指し、リスク管理の徹底やインシデント対応、外部委託先のセキュリティ管理が求められています。また、金融庁は「Delta Wall」演習を通じて金融機関の対応力向上を支援し、セルフアセスメント結果をもとに改善提案を行うなど、金融業界全体のサイバーセキュリティ強化をサポートしています。
令和6年度の診療報酬改定では、医療機関のサイバーセキュリティ対策が評価項目に加えられ、収益増を通じた対策強化が促されています。背景には、患者情報の保護や治療の継続を脅かすサイバー攻撃が増加している現状があり、政府は医療システム全体の安全性向上を図っています。改定により、医療機関は診療録管理体制加算を通じて経済的な支援を受け、サイバーリスク管理の体制整備やセキュリティ教育などを推進できるようになっています。
経産省の資料では、サイバーセキュリティに関する組織体制において、IT、デジタル部門の開発、運営者・事業部門などの「実務者・技術者層」、セキュリティ部門・監査部門などの「戦略マネジメント層」、取締役・執行役員などの「経営層」、の3つに分類され、必要なスキルや具体的にやるべきこと(タスク)が定義されています。
該当の対象者に向けた研修を展開しているおすすめの会社を合わせて見られるようにしているので、検討している受講者の欄からご覧ください。
CompTIA CASP+やCySA+など上位資格を学べる研修ラインナップ。CompTIAプラチナパートナーとして上位資格を一気通貫で学べる国内数少ない会社です。
実務や技術者が仮想空間で手を動かしながら実践的にスキルを習得できる点が特徴です。
CompTIA(Pentest+、CASP+、CySA+他)、EC-Council(CEH、CCT他)、ICT(OT)、SecuriST、インシデント対応、ペネトレーションテスト、フォレンジック など
セキュリティ事故などインシデント対応者に必要な知識を学べる専用プログラムが特徴。
基礎的な知識から、デジタルフォレンジックやマルウェア解析など専門技術を内製できる企業向けにもコースを展開しています。
インシデントレスポンス、マルウェア解析、セキュリティオペレーション、デジタルフォレンジック、脆弱性ハンドリング、情報セキュリティ事故対応 など
企業のリスクマネジメントを支援するコンサルティング業務を主軸としており、企業経営の推進力を高めるリスクマネジメント力が身に着く研修を提供しています。
経営層向けだけで3段階のコースを展開し、着実なステップアップができます。
経営層向けサイバーセキュリティ対応能力向上、CSIRT構築、情報セキュリティ入門、組織サイバーレジリエンス力向上 など
