生成AIの登場、ゼロトラストの浸透など2023年のLAC WATCHを10大ニュースで振り返る

2024年が始まりました。今年も引き続き、テクノロジーによる変革が続く一方で、セキュリティ脅威への対策としてのゼロトラストモデルの広がりや、2022年に突然登場したChatGPTをはじめとした生成AIがもたらす新たなリスクへの注目度が高まると予想されます。

今年を予想するためには、現在の環境を把握する必要があります。この記事では、2023年にLAC WATCHとして公開した記事の中から、反響の大きかったものをベスト10形式で紹介します。

第1位 IT初心者の上司に説明する"ゼロトラスト"～イメージでとらえるゼロトラスト（稲毛 正嗣）

ランキング1位は、そのゼロトラストの効果を、「IT初心者の上司」に説明するという試みについての記事です。

コロナ禍がようやく終息した2023年ですが、テレワークは働き方の有力な選択肢として残りました。その際に、境界防御型セキュリティの限界とゼロトラストセキュリティへの転換が意識されています。

記事では、「株式会社なんでも信頼」の社員が冒頭、見た目は普通だが実は悪い人が、会社の飲み会にまで参加することで、社員がすっかりだまされてしまうというショッキングな話から始まります。同様の出来事が現実のオフィス環境で起きたらどうするべきか、豊富な絵を交えて分かりやすく説明しています。

ランサムウェア被害が深刻化する中で、ゼロトラストが、啓発期からいよいよ普及期に差し掛かっていることが、端的に分かる内容と言えるでしょう。

第2位 LAC Security Insight 第3号 2023 冬　今年の脅威をラックの専門家が予測する（サイバーセキュリティサービス部）

2位は、「LAC Security Insight 第3号 2023 冬　今年の脅威をラックの専門家が予測する」という記事です。

この記事から、無料ですぐにダウンロードできる本編では、企業の緊急事態時にかけつけるラックの「サイバー119」が、どのように活動したのかを解説しています。マルウェア関連の被害による相談が35％と最も多く、最新のLAC Security Insight 第6号では43％まで増加しています。中でも、2023年に注目を集めた「宿泊業界を狙ったフィッシング攻撃の発生」について、第6号で詳しく解説しています。

病院に続き、宿泊業界が狙われたという意味で、近年は個別の業界に絞った形でセキュリティ動向を意識する必要がありそうです。業界構造や歴史的な経緯によって、セキュリティ面で脆弱と認識された業界が、新たな標的になるリスクが2024年も継続して高まると考えられそうです。

第3位 CYBER GRID JOURNAL Vol.15 "「サイバー脅威」研究最前線！敵を知り、身を守る勘所"（サイバー・グリッド・ジャパン）

3位は『CYBER GRID JOURNAL Vol.15 "「サイバー脅威」研究最前線！敵を知り、身を守る勘所"』です。

ラックの研究開発部門である「サイバー・グリッド・ジャパン（CGJ）」の次世代セキュリティ技術研究所が発行するこの報告書は、テクニカルサポート詐欺を専門とするアナリストが、このジャーナル以外では読めない研究内容を紹介しています。

テクニカルサポート詐欺の脅威はテレビでも紹介され、騙されると、海外と思われる偽コールセンターのエージェントと生々しい会話をすることになってしまいます。消費者の視点からも、セキュリティ対策が重要であることを理解できる内容です。

第4位 「情報セキュリティ10大脅威 2023」から学ぶ、多様化するサイバー攻撃に適したセキュリティ対策の見直しポイント（本間 由佳）

4位は『「情報セキュリティ10大脅威 2023」から学ぶ、多様化するサイバー攻撃に適したセキュリティ対策の見直しポイント』です。

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2023」で、首位は2022年に続き「ランサムウェア（身代金要求型ウイルス）による被害」でした。記事では、この結果をもとに、改めてセキュリティ対策を学ぶ内容です。

前年順位	個人	順位	組織	前年順位
1位	フィッシングによる個人情報等の詐取	1位	ランサムウェアによる被害	1位
2位	ネット上の誹謗・中傷・デマ	2位	サプライチェーンの弱点を悪用した攻撃	3位
3位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	3位	標的型攻撃による機密情報の窃取	2位
4位	クレジットカード情報の不正利用	4位	内部不正による情報漏えい	5位
5位	スマホ決済の不正利用	5位	テレワーク等のニューノーマルな働き方を狙った攻撃	4位
7位	不正アプリによるスマートフォン利用者への被害	6位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	7位
6位	偽警告によるインターネット詐欺	7位	ビジネスメール詐欺による金銭被害	8位
8位	インターネット上のサービスからの個人情報の窃取	8位	脆弱性対策情報の公開に伴う悪用増加	6位
10位	インターネット上のサービスへの不正ログイン	9位	不注意による情報漏えい等の被害	10位
圏外	ワンクリック請求等の不当請求による金銭被害	10位	犯罪のビジネス化（アンダーグラウンドサービス）	圏外

第5位 小学生にも分かる！サイバーセキュリティの仕事を紹介するハンドブックの続編を作りました（高橋 怜子）

5位は「小学生にも分かる！サイバーセキュリティの仕事を紹介するハンドブックの続編を作りました」です。

2022年話題に上がり、増刷を重ねて計4,000冊以上を配布した『サイバーセキュリティ仕事ファイル 1』の続編として、『サイバーセキュリティ仕事ファイル 2～みんなが知らない仕事のいろいろ～』を公開した狙いなどを紹介しています。

前号がサイバーセキュリティ最前線の職種だとすると今号はもう少し裾野を広げ、監視業務、CSIRT、研究、経営層など12職種を採用しています。

新たに学術研究、化粧品、通信、保険、金融などさまざまな業種のプロフェッショナルにインタビューし、その中で「サイバーセキュリティ会社の経営者」については、ラックの社長である西本に話を聞いています。

趣向を凝らした内容の濃い冊子に仕上がっていますので、こちらから手に取ってご一読してください。

第6位 ChatGPT活用時のセキュリティ懸念、プロンプトインジェクション攻撃とその対策を解説（加藤 浩央）

6位は「ChatGPT活用時のセキュリティ懸念、プロンプトインジェクション攻撃とその対策を解説」という記事です。

人間のように自然に対話できるAIとして注目を集めるChatGPTを中心に、生成AIの活用が広がっています。生成AIは「プロンプト」と呼ばれる指示を受け取り様々な回答を返しますが、懸念点も指摘されています。その1つが、生成AIを組み込んだシステムに意図しない動作をさせる「プロンプトインジェクション攻撃」の危険性です。

記事では、プロンプトインジェクション攻撃への対策には、2つの難しさがあると指摘しています。さらに、具体的な5つの対策方法を示しており、生成AIの活用を検討する企業にとって役に立つ情報です。

第7位 ファイルを盗み出そうとする人の気持ちになり考えてみた～Boxの設定を見直そう～（稲毛 正嗣）

7位は、「ファイルを盗み出そうとする人の気持ちになり考えてみた～Boxの設定を見直そう～」です。

IPAが発表する「情報セキュリティ10大脅威 2023」を見ると、「内部不正による情報漏洩」が4位に位置付けられています。社外からアクセスできるクラウドサービスは、隣に上司や同僚がいないこともあり、不正を起こす心理的障壁が低くなるという特性があると記事では述べています。特に「ファイル」は持ち出しやすいものであるため、対策が必要です。

ここで、有力な解決策の1つがオンラインストレージです。記事では、オンラインストレージサービスのBoxに着目し、「私物PCやスマートデバイスからアクセスしてダウンロードする」など内部不正をする人の気持ちになりながら、その手口によってもたらされるリスクと、その解決策を述べていきます。

第8位 法改正やGIGAスクール構想に対応した、「情報リテラシー啓発のための羅針盤（コンパス）」第2.0版を公開（サイバー・グリッド・ジャパン）

8位は『「情報リテラシー啓発のための羅針盤（コンパス）」第2.0版を公開』です。

ラックの研究開発部門であるサイバー・グリッド・ジャパンは、近年のインターネットを取り巻く社会情勢が大きく変化していることから、2019年に公開した「情報リテラシー啓発のための羅針盤」の内容を見直し、最新の啓発内容や、事例、統計情報等を反映した「本編」「参考スライド集」「使い方ガイド」を「情報リテラシー啓発のための羅針盤」第2.0版として2023年2月28日に公開しました。

8位となったこの記事は、新版の更新部分を紹介しています。例えば、侮辱罪の厳罰化、成人年齢の引き下げなど法改正の内容とその影響を分かりやすく解説しています。

第9位 情シス部門のゼロトラスト導入に向けて#2　通信の保護を考えてみよう（二本松 哲也）

9位は話題のキーワードである「ゼロトラスト」についての記事「情シス部門のゼロトラスト導入に向けて#2　通信の保護を考えてみよう」です。

「会社の指示で情シス部門がゼロトラストを導入しなければならない」といった相談に回答します。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいでしょう。こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャから、ラックの考えるゼロトラストを解説します。

特に今回は、「ネットワークの場所に関係なく、全ての通信を保護する」ことをテーマにしています。

第10位 就活生向けに、サイバーセキュリティの仕事について講演しました（石原 亨）

10位は「就活生向けに、サイバーセキュリティの仕事について講演しました」という記事です。

これは、筆者の母校である金沢工業大学で、3年生向けの情報セキュリティの授業の最終日に、サイバーセキュリティの仕事に関する特別講演をしてきたという話です。

筆者自身が全ての職種を経験しているわけではないので、事前に社内で各職種の若手メンバーにヒアリングしたとのこと。就活を控えた学生と歳が近く、感覚も近いであろう彼らの話を、筆者は楽しく聞けたとのことでした。

さいごに

2024年の元旦に能登を襲った地震では、SNSでの虚偽情報の拡散が問題になるなど、平穏な年始とはなりませんでした。生成AIの光と影、製造業を対象にしたサプライチェーン攻撃など、今年もセキュリティ動向には目が離せない1年になりそうです。