« 【SSCP資格ガイド 第6回】「不正なコード」ドメインで求められる知識/スキル | トップページ | ボットネットが15ドル、初心者向け情報が満載 »

2010年4月 1日 (木)

「2010年版 10大脅威」公開

IPAセキュリティセンターのHPで「2010年版 10大脅威 あぶり出される組織の弱点!」
が公開されています。

ちなみに、10大脅威は、以下の通り。

●10大脅威 あぶり出される組織の弱点!
第1位 変化を続けるウェブサイト改ざんの手口
 ウェブサイトを閲覧しただけで、利用者がウイルスに感染することがあります。このような脅威をもたらす攻撃に新しい手口が現れました。

第2位 アップデートしていないクライアントソフト
 2009年も、ソフトウェアの脆弱性が攻撃に悪用されました。しかし、悪用された脆弱性の中には修正済みのものが多く、利用者側のアップデートが徹底されていれば、被害を減らせたはずです。

第3位 悪質なウイルスやボットの多目的化
 ウイルスやボット(以降、ウイルス)は利用者にとって身近な脅威です。ウイルスには多様な目的があります。また、2009年にはウイルスの亜種が爆発的に増加しました。

第4位 対策をしていないサーバ製品の脆弱性
 サーバ製品の脆弱性対策を行わずに運用しているウェブサイト等の存在が明らかになっています。

第5位 あわせて事後対応を!情報漏えい事件
 情報漏えいには様々な原因がある。また、漏えいした情報の種類によって被害は異なります。

第6位 被害に気づけない標的型攻撃
 メールの送付元を知人や取引先企業になりすまして、ウイルスを送付する手口があります。このようなソーシャル・エンジニアリングによって、ウイルスに感染させる攻撃を標的型攻撃といいます。

第7位 深刻なDDoS攻撃
 DDoS(Distributed Denial of Service)攻撃は、DoS攻撃(サーバやルータなどの機能を麻痺状態にさせる)の一種です。2009年7月に米国・韓国が攻撃を受けたニュースが流れました。

第8位 正規のアカウントを悪用される脅威
 コンピュータに対して自分であることを証明する情報(ユーザIDとパスワード等)がアカウントです。アカウントの不適切な運用によって、事件に発展する例が多発しています。

第9位 クラウド・コンピューティングのセキュリティ問題
 クラウド・コンピューティング(クラウド)が普及するにつれ、クラウドにおけるセキュリティの問題も指摘されてきています。

第10位 インターネットインフラを支えるプロトコルの脆弱性
 多くのコンピュータでインターネットに接続するための機能が備えられています。これらの機能に脆弱性が発見され、攻撃された場合、インターネットに大きな被害が生じる可能性があります。

やはり、Gumblarの影響か、上位にはサイト改ざん、アップデート、マルウェア、サーバの脆弱性、正規のアカウントの悪用、と、関係の深いものが続いています。
あらたなものとしては、クラウド・コンピューティングのセキュリティ問題が挙げられていますね。
あとは、タイトルにあるように「ビジネスへのインパクト」が強調された内容になっています。
(「情報セキュリティは、組織の重要課題」という視点が普及してくれるといいのですが・・・)

個人的には、納得できる10大脅威でした。

最後に参考までに、今までの10大脅威のサブタイトルの変遷を。

2006年 「加速する経済事件化」と今後の対策

2007年  「脅威の“見えない化”が加速する!」

2008年 10大脅威 ますます進む『見えない化』

2009年 攻撃手法の『多様化』が進む

2010年 あぶり出される組織の弱点!

|

« 【SSCP資格ガイド 第6回】「不正なコード」ドメインで求められる知識/スキル | トップページ | ボットネットが15ドル、初心者向け情報が満載 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/34019320

この記事へのトラックバック一覧です: 「2010年版 10大脅威」公開:

« 【SSCP資格ガイド 第6回】「不正なコード」ドメインで求められる知識/スキル | トップページ | ボットネットが15ドル、初心者向け情報が満載 »