第24回 中小企業のセキュリティ対策はなぜ難しい? サイバー攻撃から読み解くと……日本型セキュリティの現実と理想(1/3 ページ)

サイバー攻撃や内部不正などは企業規模を問わずに発生する。しかし、中小企業のセキュリティ対策は大企業に比べて進まず、攻撃側との差は拡大する一方だ。今回は中小企業のセキュリティ対策が進まない理由を記す。

» 2016年06月09日 08時00分 公開
[武田一城ITmedia]

危機意識が直結しにくいサイバー攻撃対策

 筆者はセキュリティの講演やさまざまなコミュニティーでの活動をしている関係で、セキュリティの専門家だけでなく、一般企業のシステム管理者や経営者、また、セキュリティとはあまり関係のない企業のエンドユーザーと話す機会がある。さすがに連日のように標的型攻撃やランサムウェアなどの事件・事故が報道されていることもあって、サイバー攻撃に対して危機感を持たれている(もちろん人により温度差はあるが)。

 しかし、そのサイバー攻撃の矛先が本当に自分に向いていることを認識しているかというと、危機やリスクを認識はしているが、どこか人ごとのように捉えているように感じることがある。

 サイバー攻撃や情報漏えいの事件が、ニュースなどで報道されるのは国家機関や誰でも名前を知っているような有名企業の被害だけであり、それほど知られていない企業はよほどの大事件でも起こさない限り報道もされない。その有名企業の報道も、時間が経過して他にもっと大きな事件が発生すると、どんどんかすんでしまう。元々は人間の目には見えないサイバー攻撃ということもあって原因究明が難しく、それができたとしても一般の人が攻撃手法やシステムの構造を熟知しているわけではないので、問題の本質を理解しにくいのだ。

 さらに、新聞記者などからも「事件や事故を報道しているが、問題の本質的な理解は難しい」という話も聞くことが多い。報道する側でさえ理解できないものは、視聴者や読者が理解できないのも当然だろう。このような状況から、セキュリティやシステムを専門としていない多くの人は、脅威やリスクを身近に感じているにもかかわらず、その本質が分からない。ほとんどの人は具体的な対策が実施できず、だからこそ人ごとという感覚に陥ってしまうのだろう。

「だだ漏れ」環境を好む攻撃者

 企業のシステム担当者からも、「サイバー攻撃は弊社のような規模の小さな企業を狙いませんよね?」と聞かれることがしばしある。従業員が数人の企業はもちろん、時には1000人規模の企業の担当者からも同じようなことを質問される。

 このような人たちは、本当に「自社が被害を受けない特別な企業」と考えているわけではなく、むしろ危機意識を持って現実を憂慮している人たちである。このような人たちと話す機会は、セキュリティセミナーやシンポジウムなど、セキュリティに対する意識が高くなければなかなか来ることができない場であるからだ。

 むしろ、規模に関係なく“対策済み”としている企業や組織の方が恐ろしい。対策済みということは、文字通り対策が終わったことになっているので、その後は放置される傾向が強いからだ。この“やったつもりのセキュリティ対策”が、攻撃者にとって最も都合が良い状況だ。サイバー攻撃で情報が盗まれても、その情報自体が消えるわけではない。攻撃者にコピーされるだけで、被害を受けている企業では日常と全く変わりがないから、漏えいしたことに気づかず、“だだ漏れ”という状況になる。つまり、攻撃者は何度でもその情報の最新版を入手できる状態になるということだ。

 日本ネットワークセキュリティ協会(JNSA)などから発表される情報漏えい件数などの数値を見ると、それなりに右肩上がりではあるが、サイバー攻撃などの脅威が急速に高まっているとも、被害が拡大し続けているとも言いにくい。

 しかし、攻撃者の目的は“だだ漏れ”の状況をできるだけ作っておき、その状況が露見しないようにすることで、そこから定期的な収入を得る構造を作ることにある。現在ではサイバー攻撃が完全にビジネスとして成立しており、攻撃者はまるで企業が新規顧客を開拓して重点顧客に育てるように、攻撃対象を拡大させながら勢力を拡大している。どんどんと問題の根が水面下で深くなり、その構造の下で被害が拡大している。被害件数が急増しないということは、被害がそれほど露見してしないことを示す。攻撃者の定期収入を得るための理想的な環境が実現されているかもしれないのだ。

“だだ漏れ”環境を好む攻撃者が作る状況を図解してみると
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ