第24回 中小企業のセキュリティ対策はなぜ難しい? サイバー攻撃から読み解くと……:日本型セキュリティの現実と理想(1/3 ページ)
サイバー攻撃や内部不正などは企業規模を問わずに発生する。しかし、中小企業のセキュリティ対策は大企業に比べて進まず、攻撃側との差は拡大する一方だ。今回は中小企業のセキュリティ対策が進まない理由を記す。
危機意識が直結しにくいサイバー攻撃対策
筆者はセキュリティの講演やさまざまなコミュニティーでの活動をしている関係で、セキュリティの専門家だけでなく、一般企業のシステム管理者や経営者、また、セキュリティとはあまり関係のない企業のエンドユーザーと話す機会がある。さすがに連日のように標的型攻撃やランサムウェアなどの事件・事故が報道されていることもあって、サイバー攻撃に対して危機感を持たれている(もちろん人により温度差はあるが)。
しかし、そのサイバー攻撃の矛先が本当に自分に向いていることを認識しているかというと、危機やリスクを認識はしているが、どこか人ごとのように捉えているように感じることがある。
サイバー攻撃や情報漏えいの事件が、ニュースなどで報道されるのは国家機関や誰でも名前を知っているような有名企業の被害だけであり、それほど知られていない企業はよほどの大事件でも起こさない限り報道もされない。その有名企業の報道も、時間が経過して他にもっと大きな事件が発生すると、どんどんかすんでしまう。元々は人間の目には見えないサイバー攻撃ということもあって原因究明が難しく、それができたとしても一般の人が攻撃手法やシステムの構造を熟知しているわけではないので、問題の本質を理解しにくいのだ。
さらに、新聞記者などからも「事件や事故を報道しているが、問題の本質的な理解は難しい」という話も聞くことが多い。報道する側でさえ理解できないものは、視聴者や読者が理解できないのも当然だろう。このような状況から、セキュリティやシステムを専門としていない多くの人は、脅威やリスクを身近に感じているにもかかわらず、その本質が分からない。ほとんどの人は具体的な対策が実施できず、だからこそ人ごとという感覚に陥ってしまうのだろう。
「だだ漏れ」環境を好む攻撃者
企業のシステム担当者からも、「サイバー攻撃は弊社のような規模の小さな企業を狙いませんよね?」と聞かれることがしばしある。従業員が数人の企業はもちろん、時には1000人規模の企業の担当者からも同じようなことを質問される。
このような人たちは、本当に「自社が被害を受けない特別な企業」と考えているわけではなく、むしろ危機意識を持って現実を憂慮している人たちである。このような人たちと話す機会は、セキュリティセミナーやシンポジウムなど、セキュリティに対する意識が高くなければなかなか来ることができない場であるからだ。
むしろ、規模に関係なく“対策済み”としている企業や組織の方が恐ろしい。対策済みということは、文字通り対策が終わったことになっているので、その後は放置される傾向が強いからだ。この“やったつもりのセキュリティ対策”が、攻撃者にとって最も都合が良い状況だ。サイバー攻撃で情報が盗まれても、その情報自体が消えるわけではない。攻撃者にコピーされるだけで、被害を受けている企業では日常と全く変わりがないから、漏えいしたことに気づかず、“だだ漏れ”という状況になる。つまり、攻撃者は何度でもその情報の最新版を入手できる状態になるということだ。
日本ネットワークセキュリティ協会(JNSA)などから発表される情報漏えい件数などの数値を見ると、それなりに右肩上がりではあるが、サイバー攻撃などの脅威が急速に高まっているとも、被害が拡大し続けているとも言いにくい。
しかし、攻撃者の目的は“だだ漏れ”の状況をできるだけ作っておき、その状況が露見しないようにすることで、そこから定期的な収入を得る構造を作ることにある。現在ではサイバー攻撃が完全にビジネスとして成立しており、攻撃者はまるで企業が新規顧客を開拓して重点顧客に育てるように、攻撃対象を拡大させながら勢力を拡大している。どんどんと問題の根が水面下で深くなり、その構造の下で被害が拡大している。被害件数が急増しないということは、被害がそれほど露見してしないことを示す。攻撃者の定期収入を得るための理想的な環境が実現されているかもしれないのだ。
関連記事
- 【新連載】セキュリティインシデントが繰り返される理由
セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。 - 第6回 アンチウイルスで事足りた悠長な頃のセキュリティ事情
現在の日本の情報セキュリティ環境はどのような歴史を経てきたのだろうか。まずは対策の基本にもなったアンチウイルスソフトの導入過程から紐解いてみたい。 - 第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW
仮に日本で標的型攻撃が起きなかったら、次世代ファイアウォールは世に出ず、ずっと“次世代”のままだっただろう。今回は次世代ファイアウォールの普及の道のりから日本のネットワークセキュリティ環境の遷移をひも解く。 - 第16回 標的型攻撃が生んだセキュリティビジネスの“光と影”
セキュリティ業界が活況だ。APT攻撃とも呼ばれる2011年の事件をきっかけに、新たな光が射したが、その分だけ影も色濃く出てしまった。標的型攻撃からセキュリティビジネスの本質について述べる。
Copyright © ITmedia, Inc. All Rights Reserved.