三正科技（山东）有限公司

日IPA发行《信息安全白皮书2021》

发布时间: 2021-08-27 浏览次数:

关键词：日本 IPA 信息安全白皮书

2021年7月30日，日本独立行政法人信息处理推进机构（IPA:Information-technology Promotion Agency, Japan）发行了纸质版《信息安全白皮书2021》。

一、IPA简介

IPA致力于研究IT界技术动向、强化信息安全对策、培养优秀IT人才，追求实现安全且便利的“可依赖的IT社会”；下设有产业网络安全中心、安全中心、社会基础中心、IT人才培养中心等。

IPA自2008年开始每年都发布《信息安全白皮书》，内容一般包括与信息安全有关的日本国内外政策、威胁动向、发生事件情况、所受影响情况等。除了这些固定内容之外，IPA每年还会选择代表性事件，采用官方和民间的各种数据和资料，进行分析和解说。今年白皮书的电子版仅面向IPA会员提供。

二、《信息安全白皮书2021》内容简介

我们对其部分内容作了编译，供读者参考。

（一）特集内容

1、美国的政策（特朗普政府的安全政策、拜登政府的政策，以及太阳风（SolarWinds）、科洛尼尔（Colonial Pipeline）事件等）；

2、远程办公的信息安全（发生的事件，远程办公环境所面对的威胁、课题以及对策等）；

3、NIST的安全相关活动（组织的沿革和体制，SP800、1800体系等）〈注：SP800是美国NIST（国家标准与技术研究院）发布的一系列关于信息安全的指南〉。

（图片来源：日本IPA官网）

（二）《信息安全白皮书2021》目录

序章 2020年度信息安全的概况

第1章信息安全事件・脆弱性的现状和对策

1.1 2020年度观测到的事件状况

1.1.1 世界的信息安全事件状况

1.1.2日本国内的信息安全事件状况

1.2 信息安全事件不同种类的手法和对策

1.2.1 标靶型攻击

1.2.2 新型勒索软件攻击

1.2.3商业邮件诈骗（BEC）

1.2.4 DDos攻击

1.2.5 滥用软件脆弱性的攻击

1.2.6 群发型邮件的攻击

1.2.7以个人为目标的诈骗手法

1.2.8信息泄露受害情况

1.3 信息系统的脆弱性的动向

1.3.1 从JVN iPedia的登陆信息来看脆弱性的倾向

1.3.2 从预警合作伙伴的报告状况来看脆弱性的动向

第2章支撑信息安全的基础的动向

2.1 日本国内信息安全政策的状况

2.1.1 政府整体政策动向

2.1.2 经济产业省的政策

2.1.3总务省的政策

2.1.4 警方针对网络犯罪的措施

2.1.5 CRYPTREC的动向

2.2 国外信息安全政策的状况

2.1.1 与国际社会合作的措施

2.2.2 美国的政策

2.2.3 欧洲的政策

2.2.4 亚太地区的CSIRT的动向

2.3 信息安全人才的现状和培养

2.3.1 信息安全人才的状况

2.3.2 产业网络安全中心

2.3.3为培养信息安全人才的国家考试和国家资格制度

2.3.4 为培养信息安全人才的活动

2.4 组织和个人的信息安全措施

2.4.1 企业的对策状况

2.4.2 面向中小企业的信息安全支援措施

2.4.3教育机关、政府及地方公共团体等法人的对策状况

2.4.4 普通用户的对策状况

2.5 国际标准化活动

2.5.1 各类标准化团体的活动

2.5.2 信息安全、网络安全、个人保护相关规格的标准化（ISO/IEC JTC 1/SC 27）

2.6 致力于安全的政府采购

2.6.1 IT安全评价及认证制度

2.6.2 密码模块考试及认证制度

2.6.3 面向政府信息系统的安全评价制度（ISMAP）

2.7 信息安全的普及活动

2.7.1 日常措施等的普及活动

2.7.2 疫情时代下的普及活动

2.7.3 今后的课题

2.8 其他的信息安全动向

2.8.1 保护营业秘密的动向

2.8.2 密码技术的动向

2.8.3 信息安全市场的动向

第3章个别主题

3.1 控制系统的信息安全

3.1.1 事件的发生状况和动向

3.1.2 脆弱性及威胁的动向

3.1.3国外控制系统的安全强化措施

3.1.4国内控制系统的安全强化措施

3.2 IoT的信息安全

3.2.1 持续的IoT安全威胁

3.2.2 IoT安全的供应链风险

3.2.3 脆弱的IoT机器和病毒感染实际状况

3.2.4 强化安全对策的努力

3.3 远程办公的信息安全

3.3.1 远程办公的兴起和推进活动

3.3.2 远程办公的相关问题

3.3.3 远程办公的安全状况调查

3.3.4 远程办公的安全对策

3.3.5 今后远程办公的安全

3.4 NIST的安全相关活动

3.4.1 NIST的活动概要

3.4.2 成果介绍

附录资料和工具

资料A 2020年的电脑病毒报告状况

资料B 2020年的电脑病毒非法访问报告状况

资料C 软件等脆弱性相关信息的报告状况

IPA的便利的安全工具

（图片来源：日本IPA官网）

三、信息安全十大威胁

IPA每年都会由信息安全专家投票，从上一年度发生的安全事故和攻击状况中选出对信息安全的十大威胁，并对社会公布。

（一）“信息安全十大威胁2021”

2021年的十大威胁具体内容如下：

1、个人

手机支付的非法使用、钓鱼骗取个人信息等、网络诽谤中伤造谣、使用邮件和SMS等通过胁迫和诈骗等手法获利、信用卡信息的非法使用、网络银行的非法使用、网络服务窃取个人信息、伪装成虚假警告的网络欺诈、非法app对手机用户的损害、网络服务的非法登录。

2、组织

受到勒索软件攻击、被标靶型攻击窃取机密信息、针对远程办公等新型办公方式的攻击、滥用供应链弱点的攻击、商务邮件诈骗导致金钱损失、内部非法泄露信息、IT基础故障导致业务停止、因特网服务的非法登陆、不慎而导致信息泄露、随着脆弱性对策信息的公开而导致滥用。

在面向个人的十大威胁中，排名有所变动，但上榜的威胁内容与去年相同。其中，“手机支付的非法使用”继去年首次登上第一名之后，连续两年排名第一。瞄准智能手机结算的攻击仍在不断发生。

在面向组织的十大威胁中，“针对远程办公等新型办公方式的攻击”，是今年首次上榜，排名第三。2020年受到疫情影响，公司和机构都积极向远程办公转型。但在转型期间，远程办公环境频繁受到攻击；IPA认为有必要采取适当措施。

（图片来源：日本IPA官网）

（二）“信息安全十大威胁2020”

2020年版白皮书收录了于2020年1月公布的“信息安全十大威胁2020”，具体如下：

1、个人

手机支付的非法使用、钓鱼骗取个人信息等、信用卡信息的非法使用、网络银行的非法使用、使用邮件和SMS等通过胁迫和诈骗等手法获利、非法app对手机用户的损害、网络诽谤中伤造谣、网络服务的非法登录、伪装成虚假警告的网络欺诈、网络服务窃取个人信息。

2、组织

被标靶型攻击窃取机密信息、内部非法泄露信息、商务邮件诈骗导致金钱损失、滥用供应链弱点的攻击、受到勒索软件攻击、IT基础故障导致业务停止、不慎而导致信息泄露、因特网服务对个人信息的窃取、IoT机器的非法使用、针对服务的攻击导致服务停止。

（图片来源：日本IPA官网）

四、近五年《信息安全白皮书》的内容简介

1、《信息安全白皮书2020》

提出了以下新主题：云的信息安全性（事件、受害的实际情况、课题及其对应等）；青少年的网络环境（通过SNS犯罪、不确定的信息、e运动和在线游戏等）。

（图片来源：日本IPA官网）

2、《信息安全白皮书2019》

2018年度，安全对策在重要基础设施安全强化等各个领域都取得了进展。另一方面，商务邮件诈骗、钓鱼、非法访问等攻击事件仍在持续发生。

《信息安全白皮书2019》收录了信息安全事件的具体事例和攻击手段、政策和法律的建设状况等。此外，2018年度受关注的主题是关于“控制系统”、“IoT”、“智能手机”、“IT供应链”、“AI”的安全性。

3、《信息安全白皮书2018》

2017年度，全球范围内勒索软件“Wanna Cryptor”（别名WannaCry）导致服务和业务停止；另因商业邮件诈骗、虚拟货币交易所受攻击，导致产生巨额损失。网络攻击产生了很大的影响，可见的威胁更加严重。

《信息安全白皮书2018》收录了该年度信息安全事件的具体事例和攻击手段、政策和法律的建设状况等。此外，2017年度受关注的主题是“IoT”、“虚拟货币”、“智能手机”、“控制系统”、“中小企业”相关的信息安全性。

4、《信息安全白皮书2017》

在2016年度，继2015年之后，目标型攻击案件在旅行公司等企业、大学等研究机构持续发生，大规模信息泄露的危机仍在继续。在以金钱为目标的网络攻击中，勒索软件导致的损失急剧增加，在国内外都成为严重问题。此外，病毒“Mirai”通过劫持脆弱的IoT机器，发动了以往最大规模的DDoS攻击；IoT机器安全对策的严重不善被暴露出来。

安全对策方面，改正网络安全基本法及相关法律制度等开始实施，对独立行政法人和指定法人的安全监视和监察得到强化，面向安全人才培养的新的考试和资格制度也开始推进。该年度白皮书对这些信息安全状况进行了俯瞰，收录了信息安全事件的具体事例和攻击手段等。此外，受关注的主题是有关“控制系统”、“IoT”、“Fintech”的信息安全。

如需获取以上内容的详细电子版，请移步三正科技公司知识星球（二维码附于文后）。

（来源：日本IPA官网。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）

上一篇: 黑客洗劫日本加密货币近1亿美元

下一篇: 日JIIA发布名为《俄罗斯的网络攻击》的研究报告