監査人の警鐘- 2023年 情報セキュリティ十大トレンド

‐ 社会インフラへ高まるサイバーリスク ‐

　特定非営利活動法人日本セキュリティ監査協会（本部：東京都中央区、会長：慶應義塾大学教授　手塚 悟）は、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的に、「情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンド」をとりまとめ公表しました。

　2023年のトレンドは、さまざまなITシステムが業態や規模を超えてネットワークでつながることにより、局所的なシステム障害が全国にまたがるネットワークの機能不全につながりかねないこと、また、ネットワーク化されたITシステムが産業活動・国民生活を支えるインフラとなっており、そのセキュリティが安全保障の観点からも注目されてきていることなどを懸念したトピックが上位に挙げられました。

情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド（2023年予測）

()内は前年のランク

　なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。

内容解説

　第1位は「大規模社会インフラシステム障害により増大するサイバーリスク」が選ばれました。わが国の重要インフラ分野として指定されている「情報通信」、「金融」をはじめとする14分野を含む多くの社会システムが情報システム化、ネットワーク化してきていることから、ひとたび事故が起これば社会生活に甚大な影響を引き起こすことや、大きなサイバーリスクにさらされていることがこのトピックで示されています。
　第2位は、サプライチェーンでの委託先における情報漏洩や、グループ会社や海外拠点への不正アクセスなど、一部の脆弱性がサプライチェーン全体に影響を与えるリスクに警鐘を鳴らす「ITサプライチェーンの統制強化」が続き、第3位には、身代金目的で情報窃取や暗号化を実施し、脅迫するサイバーランサムの流行に対して、被害者側の人災だとみなされないよう、あらためて基本的な対策の実施を求める「サイバーランサムによってあぶりだされる「怠け者システム管理者」や「ダメ経営者」」が選定されました。

　拡大が進むクラウド関係のトピックとして、第4位には「クラウド障害による社会的影響の拡大」が入っています。クラウド利用が進む中で、サービス障害が発生すると即座に多くの企業・組織でビジネスへの影響がでるため、利用者側では特に可用性への対策について考慮が必要であることを呼びかけています。また第5位の「要注意！大事故につながるクラウドサービスのユーザ設定不備」では、クラウドサービスの利用に関して設定の不備が、適正な利用を妨げるだけでなく、外部への情報漏洩にもつながるリスクがあることから、利用者組織として新たなマネジメントが必要であることを訴えています。
　働き方改革に関連するトピックは、リモートワークへの対策が定着してきたことから昨年の3項目から6位の1項目となっております。6位の「働き方改革に追いつかない組織管理」では組織の管理外の「場所」や「デバイス」へ一貫したセキュリティの監視や対策の仕組み作りの必要性が述べられています。
　7位以降は昨年にはランクインしていなかった新たな観点での情報セキュリティに関するトピックが挙げられています。7位は中小企業についてのセキュリティに対する懸念を示す「待ったなし！中小企業のセキュリティ対策」、8位はウクライナ問題でも脚光を浴びた「ディープフェイク等高度化する虚偽情報を使ったネット詐欺に要注意」が挙げられています。9位には「経済安全保障上の観点からも重要なサイバー攻撃対策」が入り、政府としてのサイバーセキュリティに対する取り組みが重要となってくることが示されています。10位はソフトウェア開発においてのオープンソースソフトウェアの安易な利用に懸念を示す「オープンソースソフトウェアの脆弱性懸念に対するSBOM普及の期待」が挙げられています。

　このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,800人を対象としたアンケートにより選ばれたものです。情報セキュリティの専門家の警鐘としての参考にして頂くと共に、今年の監査では、これらのトレンドにも配慮したテーマをもとに監査計画を検討されるとよいでしょう。