監査人の警鐘- 2024年 情報セキュリティ十大トレンド

2024年01月09日発表

‐ 生成AIの急激な利用拡大と高度化するサイバー攻撃への対応が急務 ‐

 特定非営利活動法人日本セキュリティ監査協会(本部:東京都中央区、会長:手塚 悟、慶應義塾大学教授)は、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的に、「情報セキュリティ監査人が選ぶ2024年の情報セキュリティ十大トレンド」をとりまとめ公表しました。

 2024年のトレンドで特筆すべきは、生成AIに伴うリスクの増大です。生成AIに関しては革新的な技術である反面、重大なセキュリティ事故の発生が懸念されます。トピック全体で多数を占めるのは、無差別なランサムウェア攻撃、サプライチェーンの脆弱性をついた攻撃、被害を防止するための脆弱性管理体制の再検討などサイバー攻撃に関するものです。さらに人材の流動化に伴う情報漏洩の危険性やサイバー人材の不足を課題という人材に着目したトピックも挙げられています。これらのトピックを念頭に今年の監査の重点を検討するとよいと思われます。

情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド(2024年予測)
ランク項目ポイント
1 (-)生成AIの悪用と誤用により増加するセキュリティ事故188
2 (3)他人事ではありません。日常化するランサムウェア被害102
3 (9)国家支援型組織によるサイバー攻撃の深刻化95
4 (2)重要インフラを支える供給網(中小企業)がサイバー攻撃ターゲットに86
5 (-)重要性が高まる事前評価, 生成AIのリスク80
6 (5)クラウド設定不備によるセキュリティ事故の多発56
7 (-)人材の流動化に伴う営業機密の流出増加51
8 (17)脆弱性管理体制の再検討の加速46
9 (3)止まらないランサムウェアの進化46
10 (-)経営課題として浮上,サイバー人材育成44

()内は前年のランク

 なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。

 第1位は「生成AIの悪用と誤用により増加するセキュリティ事故」が選ばれました。生成AIが攻撃者の武器となり悪用される懸念や、生成AIを悪用した機密情報の搾取、出力された生成物による第三者の著作権、商標権の侵害などによる事故の発生が懸念されています。関連するトピックとして5位の「重要性が高まる事前評価,生成AIのリスク」があります。生成AIについてはその技術に関する正しい知識を持った上で、想定されるリスクを公的基準やガイドラインを活用した事前の評価が必要です。
 第2位は、「他人事ではありません。日常化するランサムウェア被害」がランクインしました。ランサムウェアの被害は大企業だけでなく、中小企業にも広がっていることへの懸念を示しています。また、ランサムウェアについてはアンダーグラウンドでビジネス化し、利用技術の高度化や、攻撃の手口が変化していることを懸念する「止まらないランサムウェアの進化」が9位に選定されました。
 第3位には、「国家支援型組織によるサイバー攻撃の深刻化」が入っています。金銭的な被害のみならず、安全保障面または国家戦略的観点から組織の情報がどのような重要性を持っているかという観点の考慮も重要です。
 昨年度に引き続き「重要インフラを支える供給網(中小企業)がサイバー攻撃ターゲットに」が4位にランクされています。重要インフラを担う大手各社の対策向上は見込まれるものの、供給網を構成する中小企業の対応がこれからさらに重要性を増すとの見方です。また、「脆弱性管理体制の再検討の加速」が8位にラインクインしています。供給網を含めてサイバー攻撃に対する備えとして、そもそも組織のセキュリティ対策の基本である脆弱性管理体制を見直す必要があるのではないかという指摘です。
 6位には昨年に引き続きクラウドに関するトピックである「クラウド設定不備によるセキュリティ事故の多発」が挙げられています。ここではサービスの利用の際に各種の設定を誤ることにより情報が外部流出する事故がいまだ数多く報告されているとの指摘がなされています。
 その他の項目としては、7位に「人材の流動化に伴う営業機密の流出増加」、10位には「経営課題として浮上,サイバー人材育成」が挙げられており、社会構造の変化や技術の変化に対応する人材の管理や育成についても社会全体としても、また企業としても重要な取組課題との認識です。

 このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,900人を対象としたアンケートにより選ばれたものです。情報セキュリティの専門家の警鐘としての参考にして頂くと共に、今年の監査では、これらのトレンドにも配慮したテーマをもとに監査計画を検討されるとよいでしょう。

アンケート概要

実施時期:2023年11月1日(水)~11月17日(金)
有効回答数:196件
第1位を3ポイント、第2位を2ポイント、第3位を1ポイントとしてそれぞれ換算
総ポイントが同数の場合は、1位の獲得票数が多いものを上位としています。

本件に関するお問い合わせ
特定非営利活動法人 日本セキュリティ監査協会(JASA) 事務局 担当:芹川
〒104-0033 東京都中央区新川1-4-8 フォーラム島田Ⅱ
E-mail:office@jasa.jp