ウクライナ情勢により加速する脅威、「情報セキュリティ白書2022」発刊

　情報処理推進機構（IPA）は7月15日、「情報セキュリティ白書 2022」を同日より販売を開始したと発表した。同白書は2008年から毎年発行しているもので、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックのほか、その年ならではの象徴的なトピックを取り上げている。

　2021年はランサムウェアの手口が巧妙化して被害が拡大し、サプライチェーンに関連したインシデントや脆弱性を狙った攻撃も引き続き発生した。警察庁によると、2021年下期の被害報告件数は前年同期の4倍となっている。攻撃経路として、海外拠点、海外子会社、取引先が攻撃され、被害を受ける事案も多くみられ、工場の操業停止に至るケースもあった。

　セキュリティ政策面では、国内では2021年9月に「サイバーセキュリティ戦略」が閣議決定され、「DX with Cybersecurity」として、デジタル社会の進展と併せてサイバーセキュリティ確保の取り組み推進が重要とされた。また同月にデジタル庁が発足、政府のIT基盤とセキュリティの整備を統括することとなった。サプライチェーンセキュリティについては、経済産業省がサプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）等を継続的に推進している。

　こうした取り組みは欧米でも行われているが、2021年後半からウクライナ情勢が悪化、2022年2月のロシアの侵攻により、世界は新たな緊張に直面している。武力とサイバー攻撃・防御あるいはサイバー空間での情報戦が組み合わさったハイブリッドな戦いとなっており、サイバー空間上では政府に加えて民間組織・個人が参画する、というまったく新しい状況が生まれている。

　2021年はこうした背景を踏まえ、世界的にはサイバー犯罪の届出件数は微増だが総被害額は倍近くに増加した。日本でのランサムウェア被害も急増し、その54％が中小企業であり、全体の85％を二重恐喝が占めた。フィッシングなどの「騙しの手口」には多くのページを割いている。また個別テーマとして、制御システム、IoT、クラウドのセキュリティを挙げ、報告されたインシデントや攻撃の実態、脆弱性や脅威の動向、国の施策や対策状況などを解説している。

　目次（章）は次の通り。印刷書籍版の定価は2,200円（税込み）であるが、アンケートへの回答でPDF版を無償で入手できる。

・序章 2021年度の情報セキュリティの概況
・第1章 情報セキュリティインシデント・脆弱性の現状と対策
　1.1 2021年度に観測されたインシデント状況
　1.2 情報セキュリティインシデント別の手口と対策
　1.3 情報システムの脆弱性の動向
・第2章 情報セキュリティを支える基盤の動向
　2.1 国内の情報セキュリティ政策の状況
　2.2 国外の情報セキュリティ政策の状況
　2.3 情報セキュリティ人材の現状と育成
　2.4 組織・個人における情報セキュリティの取り組み
　2.5 情報セキュリティの普及啓発活動
　2.6 国際標準化活動
　2.7 安全な政府調達に向けて
　2.8 その他の情報セキュリティ動向
・第3章 個別テーマ
　3.1 制御システムの情報セキュリティ
　3.2 IoTの情報セキュリティ
　3.3 クラウドの情報セキュリティ
　3.4 米国・欧州の情報セキュリティ政策