経営者の立場からすると、ニュースなどで顕在化したリスクに、セキュリティ対策をしないというのはあり得ないだろう。その対策に数百万円から数千万円ものコストをかけたのだから、APTのような高度な攻撃にも耐えられると思いたい気持ちは理解できる。
しかしながら、ここまで述べた点を考えてみると、国家機関レベルの防御をすり抜けるような高度な攻撃に一般企業が対応できないというのは、仕方がないとも言える。
APTのような高度な攻撃を一般企業が防ぐというのは、一般人や家庭が外国の軍隊の装備のようなマシンガンや迫撃砲、時には戦車の徹甲弾のような攻撃を防ごうとすることに似ている。残念ながら近所で調達できるような資材で、どんなに高度な攻撃もはね返すことができる壁はそもそもできない。それでも、時に戦闘機の精密爆撃や戦艦の艦砲射撃などのような攻撃に対策せざるを得なくなる。
もちろん、何とか講じた対策で流れ弾のような被害を抑えることには一定の効果があるだろう。しかし、いくらがんばってもそれが一般企業の限界ではないだろうか。一般企業が本来の意味での標的型攻撃に絶対的な効果のある対策をするというのは、そもそも無理があったのだ。本来の標的型攻撃における対策の本質とは、高度な技術を持ってしてもなかなか破ることができない高い壁のような対策を施し、しかも、その対策が無効化されないように運用し続けることに尽きる。それを言うのはやさしいが、実行し続けることはセキュリティ対策の専門機関などでも非常に難しい。
そもそも、現在の“標的型攻撃対策ブーム”の発端となった標的型攻撃事件自体が、防衛機密を保持し、一般企業とは比較にならない対策をしているはずの日本有数の大企業を狙い、そのような企業が被害に遭ったのである。この事実を考慮するだけでも、一般企業が本来の意味での標的型攻撃から身を守ることがどれだけ難しいことなのかを理解できるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.