サイバー攻撃に遭わない会社は価値がない？ セキュリティを真剣に考えてほしい理由：ハギーのデジタル道しるべ（1/3 ページ）

セキュリティの必要性が叫ばれているものの、残念ながら「真剣」に取り組む企業はそれほど多くはない。現場で感じる“見えない”危険の状況から、セキュリティが必要な理由を改めて伝えたい。

[萩原栄幸，ITmedia]

　筆者は30年近く情報セキュリティの仕事に関わってきたが、その間に加害者（内部犯行者やサイバー攻撃者など）と被害者（省庁・自治体、企業など）の力関係は、徐々に変化している。最近では加害者の力が急激に増大し、たぶん通常の企業や組織では歯が立たなくなってきた。

　その状況を実際に目撃していると、企業や組織が情報セキュリティへ真剣に取り組まなければ、非常にまずい事態になると感じている。今回は、セキュリティにあまり詳しくない人が知るべきことを取り上げたい。それは現場でセキュリティに関わっている人が、ぜひ周囲にお伝えしてほしいことでもある。

狙われた1000社と報告した数十社

　通常の企業や組織では歯が立たない――その典型的な最近の例が、日本年金機構に対するサイバー攻撃である。実は、この攻撃が日本年金機構だけを狙ったわけではなく、少なくとも1000社以上の企業や団体を標的にした可能性があり、その事実を把握して監督官庁にきちんと報告した企業は、たったの数十社だったという。

　筆者は、関係者の一人としてこのことを知っていた。情報セキュリティの仕事では秘密保持契約を締結するのが一般的で、個別具体的な内容を紹介することは難しいが、NHKが報じたことで、やっとこうした場で話せるようになった。

　以前の記事でも触れたが、筆者がお会いした米国防総省の関係者は、「日本人の感性はおかしいのではないか？　既に米国の観測結果で毎年莫大な価値を持つ情報が盗まれているのは明らかなのに、ほとんど騒がれていない。共産国でもここまで情報統制するのは難しい」と話していた。被害金額は推定で1000億円を上回るという。

　この関係者の「なぜ？」に筆者は2つの見方を提示した。「感性がおかしいのではないか？」との問いに対しては、企業側が株主代表訴訟などを恐れ、攻撃されている事実を知りながら隠ぺいしていると答えた。筆者の経験上その数は極めて少ないが、ごく一部の企業がそのように対応していることを知っている。

　もう1つの「ほとんど騒がれていないのはなぜか？」という点は、恐ろしいことに、大部分の企業がそもそも攻撃されても気がつかないという事実があるからに他ならない。今から10年ほど前にJPCERT コーディネーションセンターとTelecom-ISAC（現：ICT-ISAC）、主要なインターネットサービスプロバイダーの15社が協力して、PCをネットへつないだ場合の危険性を調べたことがあった。

　その結果、日本のPCの2％〜2.5％がマルウェアに感染していることが分かった。LAN全体が感染しているアドレスも見つかったといわれるが、現在のPCの利用環境なら100万台規模に上るだろう。また、何も対策をしていないPCをネットにつなげば平均4分でマルウェアに感染する。新しいPCをネットへつなぐ前には、バンドルされているものでも、無料のものでも良いが、ウイルス対策ソフトを最新状態にしないといけない。

　これらは初心者における基本的な事項だろう。10年前のこうした状況は今でも同様だと想定されるが、そもそもその事実にいまだ気が付いていない。

2000年代はセキュリティ対策の進展でマルウェア感染率が徐々に低下した成果もあった。しかし、現在でもセキュリティへの関心が低い人は少なくない（旧サイバークリーンセンターが2010年9月に発行したPDF版レポートより）