年金機構事件から1年、日本が至急やるべき10の対策と心構え：ハギーのデジタル道しるべ（2/3 ページ）

[萩原栄幸，ITmedia]

1分1秒でも早く始める対策

　もはやサイバー攻撃というレベルではなくサイバー戦争の領域にある。それも悔しいことに、防御側（私たち）は今まで負け続けている。正確には、そういう交戦状態にあるという認識すらしていない。

　そして、日本のあらゆる業種・業態の企業・組織がその被害に遭っており、しかもその大部分が事実に気が付いていないという悲惨な状況だ。攻撃者の踏み台にされる「中間サーバ」の多くが、セキュリティの重要性を全く考えていない零細企業の中にある。

　日本がサイバー空間で攻撃を行うことはまずあり得ないし、それはしてはいけないだろう。防御側は全方位で守るしかないが、攻撃側はその中で1つでもピンポイントで攻撃して突破すれば、セキュリティ対策という企業・組織が講じた城壁内から何億円、何十億円以上もする貴重な情報を盗める。しかもペナルティはほとんどない状況のため、攻撃を止めることは絶対にない。

　テロリスト対策やサイバー攻撃などのいくつかの事案では、筆者は所属する学会の学術講演会や公開討論会でも警告してきた。しかし、気が付いて実際に行動する企業や団体はそれほど多くはなかった。多分、この数年間だけでも数千億円以上もの価値ある情報が盗まれている。その状況は前述の会話やNHKスペシャルからでも伺い知ることができる。これで倒産した会社も多数ある。

実態が見えないこそ危険を認識した行動が求められる

　日本の企業・組織、そして個人はもう自覚すべきだ。そろそろ自分たちの置かれている状況を第三者の視点で眺めて分析し、どうすれば将来にわたって禍根を残すことなく対応できるのかを考えるべきではないだろうか。被害に遭わないようにするには、どうすればいいのか。2015年の日本年金機構事件から学び、実践してほしいと筆者が強く願う対策手段と心構えを紹介したい。

いまできる10のセキュリティ対策と心構え

　1.「既にサイバー戦争の交戦状態にある」という認識で、企業は防衛策を真剣に考えること。

　2.セキュリティ予算を勘定科目としてどう位置付けるかを考えるのではなく、企業の存続を左右する極めて大きな「投資」であることを自覚する（単なる「経費」ではない）。

3.企業は自身の財産をよく認識する。そして、「インターネットありき」の考えではなく、ファイアウォールに似た構想で企業全体の防御壁をデザインすべきである。まずは全く企業全体がインターネットから隔離されているという状態を構想し、その中から必要最低限のリソースやシステム、ハードウェア、ソフトウェアなどを接続させる。例えば、ポートは80だけ解放するなど必要最小限にとどめ、侵入者がどの程度の深さまで侵入するかを考慮し、企業全体の壁を考える。