サイトアイコン 協栄情報ブログ

応用情報技術者試験直前対策!2024年版・情報セキュリティの脅威と対策ガイド

saitou-ap-exam-preparationアイキャッチ

2024年4月21日(日)に応用情報技術者試験が実施されます。応用情報技術者試験は午前と午後に分かれていて、午後の問題は11のテーマから必須一問、選択四問の計五問回答しなければなりません。

 

そして、必須一問の出題分野は「情報セキュリティ」です。「情報セキュリティ」は誰もが解かなければいけないので、試験直前対策として役立つ情報をこの記事で提供できればと思います。

 

具体的にいうと、「情報セキュリティ」ではIPAが毎年発表する「情報セキュリティ10大脅威」に関するテーマが出題されるので、「情報セキュリティ10大脅威」の内容と脅威への対策を応用情報技術者試験前におさらいしておこう、という内容です。

 

 

はじめに

応用情報技術者試験の午後には必須の問題が一つあり、その問題の出題分野として「情報セキュリティ」が決まっています。直近5回分の情報セキュリティ問題のテーマを見てみると、

 

実施時期 テーマ 情報セキュリティ10大脅威の該当脅威
令和5年秋期 電子メールのセキュリティ対策 不注意による情報漏えい等
令和5年春期 マルウェア対策 ランサムウェアによる被害
令和4年秋期 マルウェアへの対応策 ランサムウェアによる被害
令和4年春期 通信販売サイトのセキュリティインシデント対応 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
令和3年秋期 オフィスのセキュリティ対策 内部不正による情報漏えい等の被害

 

IPAから発表される「情報セキュリティ10大脅威 2024」を確認し、脅威の内容・攻撃方法、そして、脅威への対策について学んでおくことで、応用情報技術者試験午後の情報セキュリティに関する問題への対策となるはずです。また、「情報セキュリティ10大脅威 2024」を知っておくことは、ITエンジニアとして仕事をする上で有用かと思います。

 

 

■情報セキュリティ10大脅威 2024の概要

2024年1月24日にIPAから「情報セキュリティ10大脅威 2024」が発表されました。

 

「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

 

「情報セキュリティ10大脅威 2024」は個人向けの脅威と、組織向けの脅威に分けられています。以前までは個人・組織両方において、ランキング形式で発表されていましたが、2024年からは個人向けに関してはランキング形式での掲載を取りやめています。公式webサイトを見てみると、「順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。」とのことです。

 

情報セキュリティ10大脅威 2024 [個人]

 

情報セキュリティ10大脅威 2024 [組織]

  1. ランサムウェアによる被害
  2. サプライチェーンの弱点を悪用した攻撃
  3. 内部不正による情報漏えい等の被害
  4. 標的型攻撃による機密情報の窃取
  5. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
  6. 不注意による情報漏えい等の被害
  7. 脆弱性対策情報の公開に伴う悪用増加
  8. ビジネスメール詐欺による金銭被害
  9. テレワーク等のニューノーマルな働き方を狙った攻撃
  10. 犯罪のビジネス化(アンダーグラウンドサービス)

 

 

■各脅威の詳細解説

「情報セキュリティ10大脅威 2024 [組織]」に関して、各脅威の内容と対策を上位3つ紹介していきます。下記の内容はIPAの「「情報セキュリティ10大脅威 2024」解説書」から抜粋しています。

 

1. ランサムウェアによる被害

ランサムウェアとは、Ransom と Software を組み合わせた造語であり、ウイルスの一種である。攻撃者はPCやサーバーをランサムウェアに感染させ、様々な脅迫により金銭を要求する。さらに、攻撃者は複数の脅迫を組み合わせることで、攻撃を受けた組織がシステムを復旧するために金銭を支払うことを検討せざるを得ない状況を作り出そうとする。攻撃者は組織の規模や業種に関係なく攻撃を行う点にも注意が必要である。(引用 情報セキュリティ10大脅威 2024 P42)

 

脅威の内容

攻撃者はPCやサーバーをランサムウェアに感染させた後、以下のような脅迫を行う。

 

  1. PCやサーバーのデータを暗号化し、業務の継続を困難にする。その後、データを復元することと引き換えに、金銭要求の脅迫をする。
  2. 重要情報を窃取し、金銭を支払わなければ窃取した情報を公開すると脅迫する。
  3. 金銭を支払わなければ、ランサムウェアに感染したことを被害者の利害関係者等に連絡すると脅迫する。
  4. 金銭を支払わなければDDoS攻撃(DistributedDenialofServiceAttack:分散型サービス妨害攻撃)を仕掛けると脅迫する。また、これらを組み合わせた「二重脅迫」や「四重脅迫」も確認されている。

ランサムウェアに感染すると、データの暗号化や重要情報の窃取等の被害に遭い、さらにその調査や復旧に多くの費用と時間が掛かる。また、業務やサービス提供の停止による損失や取引先からの信頼失墜の被害につながるおそれもある。広く利用されているサービスがランサムウェアに感染すると、社会に大きな影響を与えることになる。

 

脅威の攻撃手口

 

脅威の事例

 

脅威への対策

■組織(経営者層)
 ●組織としての体制の確立
  インシデント対応体制を整備し対応する

■組織(システム管理者、従業員)
 ●被害の予防

 ●被害を受けた後の対応

 

 

2. サプライチェーンの弱点を悪用した攻撃

商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、関係組織も含めたセキュリティ対策が必要な脅威と言える。また、ソフトウェア開発のライフサイクルに関与する全てのモノ(ライブラリ、各種ツール等)や人の繋がりをソフトウェアサプライチェーンと呼ぶ。このような「ソフトウェアの繋がり」を悪用した攻撃もまた脅威であり、対策が必要である。(引用 情報セキュリティ10大脅威 2024 P44)

 

脅威の内容
組織には、サプライチェーンとの関係性が何らかの形で存在する。例えば、取引先や委託先、ソフトウェアやサービスの提供元、提供先と多岐に渡る。強固なセキュリティ対策が行われていて、直接攻撃が困難な標的組織に対し、そのサプライチェーンの脆弱な部分を攻撃者が攻撃する。その脆弱な部分を経由して間接的および段階的に標的組織を狙う。

 

外部に対しては強固なセキュリティ対策を行っていても、サプライチェーン上の取引先や導入しているソフトウェア、サービス等を足掛かりとされることで、攻撃者の侵入を許してしまうおそれがある。攻撃を受けた場合、機密情報の漏えいや信用の失墜等、様々な被害が発生する。また、自組織が攻撃を受け、足掛かりとされることで取引相手に損害を与えてしまい、取引相手を失ったり、損害賠償を求められたりするおそれがある。

 

脅威の攻撃手口

他にも、企業システムの運用、監視等を請け負う事業者(MSP)が利用する資産管理ソフトウェア等にウイルスを仕込み、MSP を利用する複数の顧客にウイルスを感染させる手口もある。

 

脅威の事例

 

 

 

脅威への対策

■組織(経営者層)
 ●被害の予防

■組織(自組織で実施)
 ●被害の予防

 ●被害を受けた後の対応

■組織(自組織に関わる組織と共に実施)
 ●被害の予防

 ●被害を受けた後の対応

 

 

3. 内部不正による情報漏えい等の被害

従業員や元従業員等の組織関係者による機密情報の持ち出しや社内情報の削除等の不正行為が発生している。また、組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもある。組織関係者による不正行為は、組織の社会的信用の失墜や、損害賠償や業務停滞等による経済的損失を招く。また、不正に取得された情報を使用した組織や個人も責任を問われる場合がある。(引用 情報セキュリティ10大脅威 2024 P46)

 

脅威の内容
悪意を持った組織関係者が、金銭受領や転職先での悪用、組織への私怨等を動機として、組織が保有する技術情報や顧客情報等の重要情報の持ち出しや第三者への提供、行為を行うことがある。

 

また、自宅等の社外で作業外部へ持ち出し、情報漏えいするケースもある。よっては、組織の社会的信用の失墜や、顧客等への損害賠償や損失補填、復旧作業等による経済的損失が発生し、組織の競争力の大幅な低下につながる。

 

その結果、組織経営の根幹を揺るがすおそれがある。また、自組織に持ち込まれた情報が不正に取得されたものであることを知りつつ使用した場合、刑事罰の対象になることもある。

 

脅威の攻撃手口

 

脅威の事例

 

脅威への対策
■組織(システム管理者)
 ●被害の予防

 ●被害の早期検知

 ●被害を受けた後の対応

 

 

まとめ

応用情報技術者試験の午後問題"情報セキュリティ"対策として、IPAから発表された「情報セキュリティ10大脅威 2024」のうち3つ紹介しました。

 

応用情報技術者試験は年2回しか実施されません。2023年春の午後試験の得点分布を見ると、

 

点数 得点分布(名) 割合
90-100 48 0.33%
80-89 683 4.73%
70-79 2992 20.70%
60-69 5082 35.17%
50-59 3913 27.08%
40-49 1408 9.74%
30-39 273 1.89%
20-29 38 0.26%
10-19 13 0.09%
0-9 1 0.01%

 

合格基準の60点付近に多くの人がいることがわかります。あと1、2点取っていれば、合格できた方もいたでしょう。しかし、落ちてしまうと、また半年後です。一問でも多く正解できるように、あきらめずに学習を続けましょう。今回の記事がその手助けになればうれしいです。

 

 

参考リンク:情報セキュリティ10大脅威 2024

モバイルバージョンを終了