IPA 情報セキュリティ白書2024のまとめと解説 最新のサイバー攻撃の脅威と対策～ランサムウェア攻撃とAIセキュリティの最前線～

IPAの情報セキュリティ白書とは

独立行政法人情報処理推進機構（IPA）が毎年発行している報告書で、情報セキュリティに関する最新の動向や脅威、技術的な対策、政策の動きなどを網羅的に取り上げています。

2024年7月30日に情報セキュリティ白書2024が発行されました。

情報セキュリティ白書のダウンロード・入手先

情報セキュリティ白書PDFによる無料版と有料の印刷書籍版が用意されています。

PDF版はIPA（独立行政法人情報処理推進機構）のウェブサイトで公開されており、ダウンロードして閲覧することが可能ですが、PDF版は5分程度の簡単なアンケート回答が必要です。

情報セキュリティ白書のダウンロード先

https://www.ipa.go.jp/publish/wp-security/index.html

出典：IPA（独立行政法人情報処理推進機構）

情報セキュリティ白書2024のダウンロード先

https://www.ipa.go.jp/publish/wp-security/wp2024dl.html

編集・発行元：独立行政法人情報処理推進機構（IPA）

発行日：2024年7月30日

出典：IPA（独立行政法人情報処理推進機構）

対象の読者

IPAの情報セキュリティ白書のターゲットは、企業、政府、学校などのセキュリティ担当者、研究者、学生、そして一般ユーザーです。

企業の情報システム管理者やセキュリティ専門家にとっては、最新の脅威や対策情報を把握し、リスク管理やセキュリティ戦略の立案に役立つ重要な参考資料となります。

また、研究者や学生は現状の分析やトレンド把握のための基礎資料として活用でき、一般ユーザーはサイバーセキュリティのリスクを理解し、デバイスやデータを守るための対策を学ぶことができます。

つまりセキュリティに興味がある方ならどなたでも読むことが可能です。

情報セキュリティ白書2024の目次

情報セキュリティ白書2024の目次は以下の様になっています。

2023年の情報セキュリティの状況を振り返りつつ、現在及び今後の情報セキュリティに関しての動向などを全体的に網羅されています。

全て読了すると300ページ近くになってしまいますので、気になるところだけ調べるだけでも良いと思います。

//////目次//////

序章 2023年度の情報セキュリティの概況

第1章 情報セキュリティインシデント・脆弱性の現状と対策

　1.1 2023年度に観測されたインシデント状況

　1.2 情報セキュリティインシデント別の手口と対策

　1.3 情報システムの脆弱性の動向

第2章 情報セキュリティを支える基盤の動向

　2.1 国内の情報セキュリティ政策の状況

　2.2 国外の情報セキュリティ政策の状況

　2.3 情報セキュリティ人材の現状と育成

　2.4 国際標準化活動

第3章 情報セキュリティ対策強化や取り組みの動向

　3.1 組織・個人に向けた情報セキュリティ対策の普及活動

　3.2 製品・サービス認証制度の動向

　3.3 暗号技術の動向

　3.4 制御システムのセキュリティ

　3.5 IoTのセキュリティ

　3.6 クラウドのセキュリティ

第4章 注目のトピック

　4.1 虚偽を含む情報拡散の脅威と対策の動向

　4.2 AIのセキュリティ

付録 資料・ツール

資料A 2023年のコンピュータウイルス届出状況

資料B 2023年のコンピュータ不正アクセス届出状況

資料C ソフトウェア等の脆弱性関連情報に関する届出状況

資料D 2023年の情報セキュリティ安心相談窓口の相談状況

第19回 IPA「ひろげよう情報セキュリティコンクール」2023 受賞作品

IPAの便利なツールとコンテンツ

//////////////////

出典：独立行政法人情報処理推進機構（IPA）　情報セキュリティ白書2024

今回はこの中から、「第1章 情報セキュリティインシデント・脆弱性の現状と対策」 および「第2章 情報セキュリティを支える基盤の動向」

そして第4章の注目のトピックであるのAI（人工知能）による情報セキュリティについて掘り下げたいと思います。

情報セキュリティの動向と課題（主に第1章と第2章）

情報セキュリティの動向ですが、新型コロナウイルスのパンデミックが収束し、経済・社会活動が回復する中、デジタル化の進展とともにサイバーセキュリティの重要性が増しています。

一方で、ロシア・ウクライナ戦争の影響により、国際的な緊張が高まる中でのサイバー攻撃の増加が懸念されています。

特にランサムウェア攻撃や知的財産の窃取を狙った攻撃が顕著であり、デジタル化の進展に伴い、サイバーセキュリティの重要性も一層増しているのが現状です。

動向1. ランサムウェアを筆頭にサイバー攻撃の多様化と巧妙化が進む

サイバー攻撃は様々な種類がありますが、その中でも一番有名で深刻なのはランサムウェア攻撃です。

ランサムウェア攻撃は、システムを人質にとり身代金を要求するという悪質な攻撃です。

現代では人手は無くデジタルが対象になっており、人よりもデータがお金になるし、失敗してもリスクが低いと考えられます。

ランサムウェア攻撃の特徴は3つです。

• データの暗号化: パソコンやサーバー内のファイルが暗号化されデータが読み取れなくなります。
• 復元に対する身代金要求: データの復元を可能にするために、仮想通貨などで金銭を要求されます。
• データの暴露：仮想通貨など金銭を支払わないと実際にデータを暴露される事例なども増えてきています。

よく話題になるは、身代金を要求された場合に金銭を支払って本当に元のデータが戻り、かつ暴露されないのか？という点です。

これはケースバイケースであり、お金で解決できるのかは分かりません。

最近ではニコニコ動画などで有名なKADOKAWAグループがランサムウェア攻撃によるサイバー攻撃を受けたと報告されています。

ファイルサーバーがサイバー攻撃を受けたようですが、被害の拡大を防ぐために他のサーバーもシャットダウンしたことで、物流システムなどにも影響が発生しました。

トレンドマイクロの報告によると、2023年の国内におけるランサムウェア被害は70件に達しており過去5年間で最多となっています。

認識しなければならいのは、サイバー攻撃は既に他人事ではなく、企業だけが対応すればいいものでもなく、私達一人一人がセキュリティのリテラシーが求められているのです。

ランサムウェア被害の業種別構成比

命に関わる医療業界や製造業など、すぐに影響が発生する業界が狙われやすい傾向があるようです。

ランサムウェア攻撃をはじめとして、サイバー攻撃で重要システムが業務停止やデータ損失を引き起こすと、攻撃を受けた企業だけで無く社会的な影響にまで発展する場合もあるのです。 例えば交通機関に影響がでると移動できなくなる可能性がありまるし、物流が影響をうけると物だけでなく食べものも運ばれなくなるかもしれません。

ランサムウェアの感染経路

原因の殆どは「VPN機器からの侵入」「リモートデスクトップ」「不審メール」で占められています。

VPNでは、VPNルーターのセキュリティパッチ（ファームウェアとも呼ばれる）の脆弱性を突かれて侵入されてしまうという事件やニュースが多くありました。

この辺りは普段から情報を仕入れており、しっかりとメンテナンスが出来ていれば殆ど防ぐことが出来る問題だったのではないでしょうか。

最新のセキュリティパッチを適用していたのは34件（40%）

未適用のセキュリティパッチがあったのは52件（60%）

世の中のVPN機器に最新のパッチが半分以上は適用されていないようですね。

国内のランサムウェアによる被害件数

被害件数と割合を確認すると、大企業より中小企業が多いようです。

とは言え国内では圧倒的に中小企業が多いので、このグラフは妥当な内容だと思われます。

サイバー攻撃といっても、ランサムウェア攻撃だけではなく、例えばBEC（ビジネスメール詐欺）やサプライチェーン攻撃など、複数のサイバー攻撃が組み合わされて、結果的にランサムウェアで暗号化されてしまった・・・ というように複数のサイバー攻撃が絡むことがあると思われます。最初は中小企業のネットワークから侵入され、BECやサプライチェーン攻撃などで、取引先の大企業にランサムウェアが送り込まれてというような流れが成り立つのです。

＜参考＞

Webサイト改ざん年度別件数推移（2019～2023年度）

情報セキュリティ白書2024の報告レポートで、1つ興味深いレポートがありました。

Webサイト改ざん年度別件数推移が年々減っています。

これに対しての考察はありませんでしたが、恐らくここ数年で攻撃者はWEBサイトの改ざんではお金に繋がらず、利益がないと考えている可能性があります。

また、ファイヤーウォールやWAF（ウェブアプリケーションファイアウォール）なども浸透してきており、技術的な対策も進んでいます。

攻撃者の主流はランサムウェア攻撃による身代金の要求とこのレポートからもある意味では読み取れるのかもしれません。

＜参考＞

情報セキュリティ10大脅威・2024・「組織」向け脅威

IPA では毎年ランキング形式で「情報セキュリティ10大脅威」を発表してきましたが、2024年版からは「個人」向け脅威について順位の掲載を取り止めています。

この表では2016年以降における10大脅威の選出状況が取り上げられています。

◆が付いた脅威は、初めて10大脅威に選出された年から、2024年まで選出され続けている脅威です。

情報セキュリティ10大脅威の発表は毎年注目が集まり、それぞれの脅威に対しては具体的な解説書や対応策が出ています。

是非参考にしてみて下さい。

「情報セキュリティ10大脅威 2024」のダウンロード

https://www.ipa.go.jp/security/10threats/10threats2024.html

動向2. セキュリティ対策の高度化

ランサムウェア攻撃などの脅威に対処するため、セキュリティ対策が高度化しています。

多要素認証（MFA）はその一例で、パスワードだけの認証ではなく、追加の認証手段を用いてセキュリティを強化しています。

ゼロトラストセキュリティと呼ばれる性悪説の考え方によるセキュリティ対策の普及も進んでいます。

この他にもサプライチェーンを介した攻撃ではBEC（ビジネスメール詐欺）などもあり技術的な対応では防ぎきれない場合もあります。

技術の分野ではAI（人工知能）や機械学習技術の活用も注目されており、普段とは異なるアクセスや動作など、異常な活動を検知することで攻撃の予測が可能になっています。

逆にAIを利用した新たなサイバー攻撃のリスクも増加しており、セキュリティの攻撃も防御も高度化していると言えます。

では何からセキュリティ対策をすればいいのか・・・となってしまいますが

ガイドラインでは次のような記載があります。

＞あらゆる技術的対策を適用することは現実的ではなく、優先順位を踏まえて適切な組み合わせを検討し、かつ、組織全体で取り組むことが必要である

つまり、できるところからやっていきましょう。と言うことです。

例えばパスワードが簡単なパスワードにしてあるのに、多要素認証（MFA）への対応などを行っても効果が限定的です。あくまで多要素認証はオプションの1つであり、企業ならば全社員が複雑なパスワードかつ、使い回さないような仕組みを取り入れて、ルールなどを教育する必要があります。複雑なパスワードを1つ作成したとしても、クラウドサービスAとクラウドサービスBと個人のPCの全てが同じパスワードの場合、どこかで1つのパスワードが流出すると次々に破られる可能性があります。 情報セキュリティ白書では最新の情報や動向、難しい事が沢山書いてありますが、まず実施すべき事は基本的な対応が最初です。その上でゼロトラストセキュリティによる対策や、様々な脅威の対応を検討するべきなのです。

動向3. セキュリティ人材の不足

高度なセキュリティ対策の導入には専門知識を持つ人材が不可欠です。

しかし、情報セキュリティ分野における人材不足は依然として深刻な問題です。

専門家の育成と確保が重要な課題であり、教育機関や企業によるセキュリティ教育の強化が求められています。さらに、従業員全体のセキュリティ意識を高めることも重要であり、定期的なトレーニングや教育プログラムが推奨されています。

人材が不足している理由として、サイバー攻撃の高度化により、セキュリティ対策の重要性が高まっているのですが、それに対応できる専門家の需要が急増しています。

しかしながら、セキュリティ分野は高度な専門知識とスキルを必要とするため、教育やトレーニングを受けた人材が不足しています。

加えてセキュリティ専門家の給与や待遇が他のIT分野と比較して必ずしも高いともいえない現状もあります。

ではどういった人がセキュリティ人材と言えるのかということですが、情報セキュリティ人材育成のための国家試験、国家資格制度が用意されています。

情報セキュリティの国家資格としては、「情報セキュリティマネジメント試験」と「情報処理安全確保支援士試験」の2つです。

情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、国家試験「情報処理技術者試験」の新たな試験区分として平成28年度春期から創設されています。

情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。〈共通キャリア・スキルフレームワーク（CCSF）レベル2相当〉

マネジメントと名称が付くとおり、セキュリティの知識を持った組織の管理者や個人情報等を仕事の中で管理をしている方々が主なターゲットになります。

つまりIT業界や情報セキュリティ業界でない方も、取り組める試験と言えます。

過去は試験会場でみんな一緒に試験でしたが、現在はCBT方式（Computer Based Testing）方式により、随時申し込んで試験会場などで試験を受けられるそうです。

情報処理安全確保支援士試験（旧情報セキュリティスペシャリスト）

情報処理安全確保支援士試験は、聞き慣れないので新しい国家資格と一見見えますが、以前は情報セキュリティスペシャリスト試験と呼ばれていました。

情報セキュリティスペシャリストと大きく異なるのは、情報処理安全確保支援士試験では合格すると、所定の登録手続きを行うことで、国家資格「情報処理安全確保支援士（登録セキスぺ）」の資格保持者となることができます。

税理士や行政書士のように、独占的な業務が出来るわけではありませんが、一定の情報セキュリティの知識があることが認識されますので、IT業界や情報セキュリティ業界での仕事をしているまたは希望している方にはお勧めです。

情報セキュリティについて学んでみたい、将来は情報セキュリティに関する仕事がしてみたい方などは挑戦してみると良いと思います。

AIと情報セキュリティ

AI（人工知能：Artificial Intelligence）の進化と普及は、サイバーセキュリティに新たな課題をもたらしています。

AI自体は昔から調査研究がありブームも幾つかありましたが、最近ではディープラーニングや機械学習などが使用されています。

この中で一番利用されているのが「生成AI」と呼ばれる技術・サービスが急激に普及しおり、専門知識がなくても、簡単に使えてしまいもはやAIはブームでは無く生活の一部になりつつあります。

＜参考＞

米国のエヌビディア (NVIDIA) はAIで大注目されている企業の1つです。2024年6月には、GoogleやAppleやMicrosoftなど、誰もが知る企業を時価総額で抜き世界首位となりました。

エヌビディアは、昔から画像処理を行うゲームやCAD等で利用されるなど、グラフィックス処理装置（GPU）で有名な企業でした。

GPUがグラフィック処理能力だけでなく、大規模な並列計算がCPUより優れていることが注目され、ディープラーニングのようなAI向けの計算として適していることが判明しました。

ディープラーニングのトレーニングには大量のデータ処理が必要であり、GPUはその計算能力を最大限に活用できるため、エヌビディアのGPUがAI研究者に広く採用されるようになりました。 きっと昔からゲームなどが好きな方には、あのエヌビディアが世界首位の企業になるとは20年前には夢にも思わなかったと思われます。

このような流れの中で、AIを悪用したサイバー攻撃の増加が懸念されており、AIの安全性に対する取り組みが急務となっています。

特に情報セキュリティ分野では、AIを活用したセキュリティソリューションの開発が進んでおり、攻撃の検知や防御においてAIが重要な役割を果たしています。 しかし、その一方でAIを悪用したサイバー攻撃の増加も懸念されており、AI技術の進展により攻撃者はより洗練された攻撃手法を用いるようになっています。
例えば、AIを使って自動的にセキュリティの脆弱性を探し出し、迅速に攻撃を実行するAIによるサイバー攻撃が注目されています。

AI業務利用の状況

AI利用分野別に利用開始／許可時期

この結果を見るとAIの導入以前にIT自体が利活用まで対応がまわっていない。という現状だと思います。

セキュリティも人材が不足している状況で、更に攻撃や防御が複雑化してきている中、ここ数年で注目を浴びているのがAIです。

殆ど企業にはセキュリティもAIも、しかもセキュリティとAIの両方を兼ね揃えたスーパーマンみたいな人はほぼいないと思います。

ディープフェイクによる模倣問題

ディープフェイク技術を悪用した詐欺や偽情報の拡散も大きな問題です。

ディープフェイクはAI（人工知能）を利用して、人や動物などの動画や音声を人工的に合成する技術です。

人物の顔や声を非常にリアルに模倣・合成することができます。映画製作やエンターテインメント業界での利用で注目されているのですが、別の観点から考えるとこの技術を悪用することで、知り合いに成りすました詐欺や偽情報の拡散といった、まさに有名なスパイ映画のようなことができてしまうことになります。従来のセキュリティ対策では検知が難しく、新たな対策が求められています。

AIセキュリティ脅威の大きさの認知状況

最も「重大な脅威である」と認識されているのは「AIの悪用による巧妙なフェイクコンテンツを用いたフィッシング、営業秘密情報取得・金銭被害」で29.3%が回答しています。

ディープフェイクに対する対策は、主に技術的対策と社会的対策があります。

技術的対策としては、AIを利用してディープフェイクを検出する技術です。AIにはAIで対策を行うという考え方です。

画像・動画・音声等の解析することで、それがフェイクなのかそうでないのかなどを調べます。

例えば画像の細かな部分や、動画や音声などでは動きが音声同期の不一致などで検出できるモデルが開発されています。

社会的対策としては、そもそもディープフェイクというものがあるのだと認識することが大事です。

この辺りはリテラシーや教育にも関係するのですが、世の中にあるもの全てが正しいとは限らないという意識が必要です。

例えばSNSでアップロードされている、誰もが最初は信じられないような動画などについては、私はディープフェイクではないか？という視点で見ることもあります。 AIの方が優秀な時代になると、騙されるのは人間なのでしょうね。

AIによるセキュリティ対策

AIを使った防御策としては、機械学習を利用した異常検知や侵入検知システムの導入が進んでいます。

マルウェア対策ソフトなどにおいては、従来のルールベースのシステムでは対応しきれなかった未知の脅威やゼロデイ攻撃にも対処できる可能性が高まっています。

AIがマルウェアの動作を分析し、サイバー攻撃をAIが検知した場合には、関連ネットワークを自動で遮断することやサーバー停止等を行うことなども現実的にはできると考えられます。 ネットワークのセキュリティ対策でも、侵入検知システム (IDS) および侵入防止システム (IPS)で、ネットワーク通信をリアルタイムに監視して、異常な通信を検出することで、ネットワークへの悪意ある侵入や兆候を識別します。
セキュリティインシデントの発生時においてもAIが活用されることにより、インシデント発生後に迅速な対応を行う為に自動対応支援などでも注目されています。

AIのセキュリティガイドライン

A I のセキュリティガイドラインとしては、AI ベンダーを対象とする開発ガイドラインがあります。

機械学習工学研究会は「機械学習システムセキュリティガイドラインVersion 2.00」を公開されており、AI開発者に具体的な対応の方法が示されています。

内閣府は「セキュアAIシステム開発ガイドライン」を公開しています。

AIのシステム開発、SBOM（Software Bill of Materials）、サプライチェーンセキュリティ確保等が記載されています。

更に、総務省・経済産業省は「AI事業者ガイドライン（第1.0版）」を公開しています。

AIガバナンス指針の位置付けであり、AI の開発者から利用者まで幅広く共通指針を示しています。

機械学習工学研究会　機械学習システム セキュリティガイドライン Version 2.00

https://github.com/mlse-jssst/security-guideline

内閣府　セキュアAIシステム開発ガイドライン

https://www8.cao.go.jp/cstp/stmain/20231128ai.html

総務省・経済産業省　AI事業者ガイドライン（第1.0版）

https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html

AIで導き出された答えが分からない問題

しかし、AIの導入にはリスクも伴います。先ほどは自動で検知してネットワーク遮断・・・のような事を記載しましたが、どうしても誤検知や誤作動が発生する可能性があります。

AI自体が攻撃対象となり悪用されるリスクもあります。さらにAIのディープラーニングや機械学習では、なぜその答えが出るのか？なぜこのようなアクションを実行したのかなどがブラックボックスとなりえます。

ディープラーニングでは多層のニューラルネットワークと呼ばれるプロセスが使用され、どうしてもその仮定から導き出された結果の理由が「ブラックボックス」となるのです。

AIは注目されていますが根拠の明示がまだまだ乏しいので、信頼性や透明性の問題があるわけです。

AIセーフティ・インスティテュート（AISI：AI Safety Institute）

日本ではIPA（情報処理推進機構）がAIセーフティ・インスティテュートを設立しており、AIの安全性評価手法の開発を進めているようです。

AIシステムの脆弱性診断や各種テストを行うことで、AI技術の安全性を確保してリスクを最小限に抑えることを目指しています。

国際的な協力も重要であり、AIに関連するセキュリティ基準やガイドラインの策定が進められています。

今後、AI技術がさらに進化する中で、セキュリティ分野でのAIの役割はますます重要になると考えられます。

今後の展望とまとめ

現代のデジタル社会において、情報セキュリティはますます重要な課題となっています。
IPAの「情報セキュリティ白書2024」は、最新のサイバー脅威とその対策についての包括的な分析を提供しており、企業や個人が直面するリスクに対する理解を深めるための貴重なリソースです。

情報セキュリティ白書2024では、2023年度における主要なサイバー攻撃の傾向が詳細に分析されています。ランサムウェアやフィッシング攻撃の増加に加え、ゼロデイ攻撃の発見と対応が急務となっていることが指摘されています。

これに対して、AIや機械学習を活用したセキュリティ対策が急速に進化し、異常検知や自動対応の精度が向上していることが報告されています。特に、AIが脅威インテリジェンスを強化し、未知の脅威に対しても迅速に対応できる点が注目されています。

依然として課題が残る領域についても触れています。

具体的には、多要素認証の導入が進む一方で、ユーザーのパスワード管理の不徹底や紛失などの情報漏洩リスクが依然として存在しています。これらの課題に対して、企業は継続的なセキュリティ教育とポリシーの強化が求められます。

この「情報セキュリティ白書2024」は、セキュリティ担当者や経営者だけでなく、一般のユーザーにとっても非常に有益な情報を提供しています。

最新の脅威情報や対策の進展について知りたい方は、ぜひIPAの公式サイトからダウンロードして、その詳細な分析を確認してください。

情報セキュリティに関する知識を深め、自分自身や組織の安全を守るための第一歩として、この白書は必読です。

情報セキュリティ白書のダウンロード先

https://www.ipa.go.jp/publish/wp-security/index.html

出典：IPA（独立行政法人情報処理推進機構）

情報セキュリティ白書2024のダウンロード先

https://www.ipa.go.jp/publish/wp-security/wp2024dl.html

編集・発行元：独立行政法人情報処理推進機構（IPA）

発行日：2024年7月30日

出典：IPA（独立行政法人情報処理推進機構）

今回は長くなりましたが、皆様の関わりのある部分についてだけでも確認してみましょう。

今回のコラムはこの辺りで締めくくりたいと思います。今回もありがとうございました。