監査人の警鐘- 2022年 情報セキュリティ十大トレンド

‐ 働き方の変化や外部IT利用への対応が急務 ‐

　特定非営利活動法人日本セキュリティ監査協会（本部：東京都中央区、会長：慶應義塾大学教授　手塚 悟）は、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的に、「情報セキュリティ監査人が選ぶ2022年の情報セキュリティ十大トレンド」をとりまとめ公表しました。

　2022年のトレンドは、人々の働き方や利用するシステムの環境の大きな変化に伴いリスクそのものが変化してきていることに対し、従来のままのセキュリティ対策では十分でないことを示唆するトピックが多く出てきている結果となりました。

情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド（2022年予測）

()内は前年のランク

　なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。

内容解説

　第1位は、企業が業務優先で整備したリモートワーク環境がニューノーマルとして定着しつつある中で、あらためてセキュリティ対策の見直しを訴える「緊急コロナ対策からWithコロナへ　業務優先で後回しにしたセキュリティの再点検」が選ばれました。
　第2位は、自宅、レンタルオフィスなどフレキシブルな環境での勤務も可能となる中で、これらの環境でのセキュリティ対策が自社のルールの水準を下げるものになっていないかを問う「多様化するワークスペースに対応するセキュリティ対策」が続き、第3位には、サプライチェーンのセキュリティ対策として、全ての取引先企業に対するルールの徹底・教育だけでなく、OSS等の外部ソフトウェアを利用したシステム構築の情報漏洩のリスクについて警鐘を鳴らす「ICTサプライチェーンにおける情報セキュリティリスクの増大」が選定されました。

　新型コロナウィルスの蔓延に関連するトピックスとしては、上述した「緊急コロナ対策からWithコロナへ　業務優先で後回しにしたセキュリティの再点検」に加え、コミュニケーションの標準的なインフラの変化に関連する第4位の「広がるWeb会議利用の盲点　データ漏洩に注意」、やシステム管理者のテレワーク勤務に伴うインフラの不備を懸念する第8位の「管理機能が攻撃対象に　社外端末によるシステム管理に潜む重大脆弱性」が挙げられています。
　また、デジタル化がさらに進む中で変化するサイバー攻撃に対しては、従来のISMSではカバーしきれないことから、追加のマネジメントの必要性を訴える第5位の「ISMSからサイバーセキュリティ対策マネジメントへ」が挙げられ、2022年3月から全面施行される改正個人情報保護法に対応した第6位の「個人データ活用におけるビジネスとプライバシーの対立」も監査人にとっては重要なポイントとなっています。
　クラウドに関連するトピックスとしては、第7位の「クラウドの仕様変更への対応不備によるセキュリティ事故」や第9位の「クラウド相互乗り入れ問題　バタフライエフェクトで自社の業務が停止する」など、クラウドへのビジネスの依存度が高まる中で、ベンダ依存から脱却し利用部門がより主体的にサービスの提供情報を理解し、サービスプロバイダとのコミュニケーションを行うことを求めるトピックが挙げられています。また様々なネットサービスが提供される中で、入力した個人情報があっという間に意図しない状態で悪用されるリスクがあることを訴える第10位「気を付けよう外部サービスの穴」もランクインしています。

　このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,800人を対象としたアンケートにより選ばれたものです。情報セキュリティの専門家の警鐘としての参考にして頂くと共に、今年の監査では、これらのトレンドにも配慮した監査計画を検討されるとよいでしょう。