第24回 中小企業のセキュリティ対策はなぜ難しい？ サイバー攻撃から読み解くと……：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

2011年以後のセキュリティ対策の変化

　大企業や有名企業のセキュリティ対策は、ここ10年以上ほとんど変わらないといわれながらも、少しずつ進化している。これは日本のセキュリティ製品・サービスの市場規模がほぼ右肩上がり（リーマンショックのあった2008〜2009年は少し減少しているが）ということが裏付けている。また対策コストの数値だけでなく、その内容の変化も見逃せない。

　その契機となったのは、この連載でも何回か取り上げた国内防衛産業に対する2011年の標的型攻撃事件だ。

　この事件以降、日本のセキュリティ対策の前提は大きく変わった。それまでは危険なインターネットと組織内部との間に壁を築くことによって内部を安全にするものだった。それが、通常の企業ではありえない程の高く強固な壁を築き、そのメンテナンスも欠かさなかった企業でさえ被害に遭うようになった。どんなに高い壁でも攻撃者がその気になれば脆弱な部分を突いて侵入し、数年間にわたる執ような攻撃に企業は耐え切れず、国家機密級の重要な情報を漏えいさせてしてしまった。

「ヒト」「モノ」「カネ」が潤沢でも標的型攻撃への対応は難しい

　これらの状況からセキュリティ対策は、「ヒト」「モノ」「カネ」「情報」の経営リソースが豊富なはずの有名企業や大企業などはもちろん、それらが圧倒的に少ない中小企業ではより深刻な問題だ。それは、攻撃者の目的である「だだ漏れの状況をたくさん作る」ことと深く関連する。2011年の標的型攻撃事件で踏み台として狙われたのは中小企業ではないが、直接取引があった対策が手薄な企業だった。

　やはり、企業規模の大小は経営リソースと一定割合で比例する。その結果、規模が小さな企業の対策が手薄になるというのは自明だ。攻撃者はそれを予想していて、重要機密を直接狙うのではなく、より対策が薄いと思われる規模の企業を狙えば効率的に目的を達成できることを知っている。

　2011年の事件において攻撃者には明確なターゲットがあったのだろうが、ほとんどの攻撃者の目的は純粋に金銭だけということが多いだろう。むしろ、脆弱な中小企業を見つけておいて、そこを「だだ漏れの状況」にしておけば、そこからもっと良い金脈を見つけられる可能性が高いと考える。トップセールスマンが高確度の見込み客を多く持っているのと同じように、攻撃者も未来の金脈につながる「見込み客」を多数保持していることだろう。

　この場合の「見込み客」とは、脆弱性があり、いつでも侵入できる企業だろう。攻撃者は一度入って内部を捜索した後に、内部のシステム構成を知り、いくつかのセキュリティ対策をかいくぐる方法と「バックドア」と呼ばれる“誰にも知られていない出入り口”を作っているはずだ。これによって「だだ漏れ」の仕組みが完成する。その時点で情報を抜いておき、その後も最新の情報を定期的に抜くようになるだろう。以後は、その中から“カネになる情報”を見けると都度換金する。

　このように、攻撃者の収益の源泉になる中小企業の脆弱性は都合がいい。つまり、中小企業だから狙われないのではなく、場合によっては中小企業こそ非常に、効率的に稼ぎやすいターゲットになり得る。