企業・組織で高まる標的型攻撃の脅威、対策の再点検を考える：ITmedia エンタープライズ ソリューションセミナー レポート（1/5 ページ）

2015年は国内企業・組織を狙う標的型攻撃の脅威が改めて注目された。情報資産やシステムを守る方法をどう見直すべきか――ITmedia エンタープライズ主催セミナーでは専門家らが標的型攻撃対策のポイントを解説してくれた。

[ITmedia]

　国内で標的型攻撃の脅威が注目された2011年以降、企業や組織ではさまざまな対策が講じられてきた。しかし、2015年は大規模な個人情報の漏えい事故など被害が相次いだ。2015年12月2日に都内で開催された「第17回 ITmedia エンタープライズ ソリューションセミナー ビジネスを脅かす標的型攻撃 対策再点検のススメ」ではセキュリティ業界の専門家やベンダー各社から標的型攻撃の最新動向や対策を強化するためのソリューションが紹介された。

セキュリティ対策の視点を変えよう

内閣府本府参与（科学技術・IT戦略担当） 齋藤ウィリアム浩幸氏

　基調講演「企業がサイバーリスクに強いIT環境を実現していくために」には、内閣府本府参与（科学技術・IT戦略担当）の齋藤 ウィリアム 浩幸氏が登壇。セキュリティ対策の方向性について提言を行った。

　まず齋藤氏が注目するサイバー攻撃のトレンドは、IoTや情報システムにまつわる影響の深刻化だ。IoTではセキュリティリスクが懸念されているものの、海外では社会インフラへの攻撃が発生。中でも2010年に判明したイランの原子力施設に対する攻撃（Stuxnet事件）ではマルウェアがUSBメモリを介してシステムに感染し、システムが誤動作を起こしかねない状況に陥ったとされる。

　一方、情報システムに対する攻撃では2015年9月に米国人事局（OPM）から米国政府職員の極めて機密性の高い個人情報が流出。同年10月のアシュリーマディソンにおける情報漏えいでは自殺者が出てしまった。従来のサイバー攻撃における被害は情報の漏えいが多かったものの、近年はシステムの物理的な破壊や人間の生命に影響しかねないほど深刻になり始めている。

　こうした状況には、セキュリティ対策をより強固なものにしなければならないと考えがちだろう。しかし、セキュリティ対策が厳しくなればその分のコストも運用の負荷も高まり、ユーザーの利便性は低下する。理想的なセキュリティに近づけることは大切であるものの、斎藤氏は「安全性」「利便性」「コスト」のバランスに配慮したアプローチを取るべきだと指摘している。

　そのために齋藤氏がアドバイスするのは、セキュリティ対策の視点を変えるという点だ。例えば、多くの企業や組織ではセキュリティ対策がサイバー攻撃を防ぐといった目的になりがちであるものの、本来は企業や組織にとって大切な資産（顧客や信頼、情報、知財など価値あるもの）を守るためにセキュリティ対策を行うはずである。

　サイバー攻撃を防ぐという対処療法的なセキュリティ対策では企業や組織にとって利益にはならない。しかし、資産を守るという視点に立ってビジネスの中にセキュリティを組み込む「Secure by Design」というアプローチなら、ビジネスがより安全かつ信頼を醸成する存在になるだろう。

　齋藤氏は、サイバー攻撃の深刻化を悲観的にとらえるばかりではなく、万一の被害に直面しても「レジリエンス（回復力）」を備えたセキュリティを実現していくチャンスだとアドバスしている。