相次ぐサイバー攻撃被害 考え直したいセキュリティ対策（4/4 ページ）

[國谷武史，ITmedia]

セキュリティ対策をする理由

　「対策手法が古いまま」「リスク意識が低い」「うちには関係ない」。トレンドマイクロの調査からは、こうした組織のセキュリティ実態が浮かび上がる。標的型攻撃の被害を発表した組織がこうした実態にあったのかは不明だが、染谷氏は「後ろめたい事実を隠したがる組織が多い中で、被害の公表は勇気の要る行動だといえるでしょう」と評価する。

　そもそも組織は、なぜセキュリティ対策をするのだろうか。標的攻撃のような脅威が“難病”だとすれば、セキュリティ対策は組織の“健康”を維持するための行動だろう。組織の健康とは、健全なビジネスを持続することともいえ、ビジネスを支える人材や情報、顧客、関係者を守ることがセキュリティ対策の本質といえる。

　その本質に立って考えれば、脅威や被害を“他人事”として済ませ、セキュリティ対策を疎かにすることは難しいはず。それでも調査からは上述の実態が浮かんでくる。染谷氏は、「利益を生まないセキュリティ対策に資金が必要であるなど、複雑かつ構造的な問題を抱えています。しかし、少なくとも『何を守るのか』というスタート地点に立ち戻って、セキュリティ対策をしていくべきではないでしょうか」と指摘する。

　トレンドマイクロの調査で、「情報資産の分類や重要度を定義して定期的にチェックしている」という組織は24％にとどまった。多くの人は、健康を維持するために健康診断を受けて体の状態をチェックしている。ビジネスを支える情報資産についても、同じことがいえるのではないだろうか。組織の健康状態を把握して、不十分なところは改善をする。改善の方法には、ランニングのように自分でできることもあれば、専門家のサポートが必要なものもあるだろう。

組織が重視する対策手法。組織的な取り組みの伸びが目立つ（同）

　「セキュリティ対策は、当事者意識を持って大切なものを守るために今の組織に足りているところ、足りないところを確認すべきです。たとえ高度な対策を講じられなくても、万一の場合の対応手順をきちんと文書化するなどの備えがあれば、被害を少なくできるはずです」（染谷氏）