監査人の警鐘- 2024年 情報セキュリティ十大トレンド

‐ 生成AIの急激な利用拡大と高度化するサイバー攻撃への対応が急務 ‐

　特定非営利活動法人日本セキュリティ監査協会（本部：東京都中央区、会長：手塚 悟、慶應義塾大学教授）は、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的に、「情報セキュリティ監査人が選ぶ2024年の情報セキュリティ十大トレンド」をとりまとめ公表しました。

　2024年のトレンドで特筆すべきは、生成AIに伴うリスクの増大です。生成AIに関しては革新的な技術である反面、重大なセキュリティ事故の発生が懸念されます。トピック全体で多数を占めるのは、無差別なランサムウェア攻撃、サプライチェーンの脆弱性をついた攻撃、被害を防止するための脆弱性管理体制の再検討などサイバー攻撃に関するものです。さらに人材の流動化に伴う情報漏洩の危険性やサイバー人材の不足を課題という人材に着目したトピックも挙げられています。これらのトピックを念頭に今年の監査の重点を検討するとよいと思われます。

情報セキュリティ監査人が選ぶ
情報セキュリティ十大トレンド（2024年予測）

()内は前年のランク

　なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。

内容解説

　第1位は「生成ＡＩの悪用と誤用により増加するセキュリティ事故」が選ばれました。生成ＡＩが攻撃者の武器となり悪用される懸念や、生成ＡＩを悪用した機密情報の搾取、出力された生成物による第三者の著作権、商標権の侵害などによる事故の発生が懸念されています。関連するトピックとして5位の「重要性が高まる事前評価，生成ＡＩのリスク」があります。生成AIについてはその技術に関する正しい知識を持った上で、想定されるリスクを公的基準やガイドラインを活用した事前の評価が必要です。
　第2位は、「他人事ではありません。日常化するランサムウェア被害」がランクインしました。ランサムウェアの被害は大企業だけでなく、中小企業にも広がっていることへの懸念を示しています。また、ランサムウェアについてはアンダーグラウンドでビジネス化し、利用技術の高度化や、攻撃の手口が変化していることを懸念する「止まらないランサムウェアの進化」が9位に選定されました。
　第3位には、「国家支援型組織によるサイバー攻撃の深刻化」が入っています。金銭的な被害のみならず、安全保障面または国家戦略的観点から組織の情報がどのような重要性を持っているかという観点の考慮も重要です。
　昨年度に引き続き「重要インフラを支える供給網（中小企業）がサイバー攻撃ターゲットに」が4位にランクされています。重要インフラを担う大手各社の対策向上は見込まれるものの、供給網を構成する中小企業の対応がこれからさらに重要性を増すとの見方です。また、「脆弱性管理体制の再検討の加速」が8位にラインクインしています。供給網を含めてサイバー攻撃に対する備えとして、そもそも組織のセキュリティ対策の基本である脆弱性管理体制を見直す必要があるのではないかという指摘です。
　6位には昨年に引き続きクラウドに関するトピックである「クラウド設定不備によるセキュリティ事故の多発」が挙げられています。ここではサービスの利用の際に各種の設定を誤ることにより情報が外部流出する事故がいまだ数多く報告されているとの指摘がなされています。
　その他の項目としては、7位に「人材の流動化に伴う営業機密の流出増加」、10位には「経営課題として浮上，サイバー人材育成」が挙げられており、社会構造の変化や技術の変化に対応する人材の管理や育成についても社会全体としても、また企業としても重要な取組課題との認識です。

　このトレンド調査は、協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,900人を対象としたアンケートにより選ばれたものです。情報セキュリティの専門家の警鐘としての参考にして頂くと共に、今年の監査では、これらのトレンドにも配慮したテーマをもとに監査計画を検討されるとよいでしょう。