第25回 中小企業が取り組める現実的なセキュリティ対策とは?日本型セキュリティの現実と理想(2/4 ページ)

» 2016年06月23日 08時00分 公開
[武田一城ITmedia]

中小企業に標的型攻撃対策などを呼び掛ける滑稽さ

 このように中小企業のセキュリティ対策は、経営資源が限られているという厳しい状態であることに加え、(主に経営者の)セキュリティ意識の希薄さという根本的な課題も抱えている。

 前回の記事では、標的型攻撃の顕在化が日本のセキュリティ対策を一段強くすることになったと述べたが、中小企業の実態をみれば、セキュリティの専門家やベンダーが述べるような“巧妙化する攻撃手法”や“国家機密級の情報を守るセキュリティ対策もすり抜ける標的型攻撃”の事例――などによって彼らに危機感を意識してもらうことは難しいと言わざるを得ない。

 コンピュータやインターネットを駆使して全世界とコミュニケーションや商売ができるということには、全世界からサイバー攻撃を受けるという別の面を伴う。ユーザーは、コンピュータやインターネットが具体的にどうやって世界とつながっているかを目で見ることはできない。見えないからこそ、そこで起きるサイバー攻撃をどう防ぐのかはもちろん、どう攻撃を受けるかも想像することが難しい。世の中のほとんどの人たちにとってサイバー攻撃は、別の世界での出来事のように感じられてしまうのだ。

 大企業では経営者の意識の高低にかかわらず、社会(や上場企業ならば株主)からのプレッシャーもあり一定のセキュリティ対策がなされる。しかし中小企業ではオーナー経営者の割合が大きく、大企業よりも経営者の危機意識がセキュリティ対策に直結しやすい。このため「それでいくらもうかるのか?」「経営がうまくいくのか?」という観点だけを重視している中小企業の経営者には、2011年の標的型攻撃事件も、その対策ソリューションも響かないのだ。サイバー攻撃者は大きく進歩し、大企業もそれなりに対策し始めているため、相対的に中小企業のセキュリティ対策の遅れが顕著になっている。

中小企業経営者のセキュリティに対する一般的な考え方とは?

 セキュリティ意識があまり高くはない企業の対策への取り組みをみてみると、これまでは競合になるような同規模の他企業と同じか、もう一段だけ上の対策を導入するというのが常道だったと思われる。その意識の低い経営者にとってセキュリティ対策はただのコスト負担でしかなく、同業他社と同じような対策をしていれば、それが免罪符になると考える向きがあった。

 セキュリティベンダーは、企業のこうした意識を熟知しているからこそ、少しだけ先進的な同規模の他企業の導入事例を増やし、ラインアップをそろえて、意識の低い経営者向けに免罪符と見えるようなちょうど良い加減のセキュリティソリューションに仕立てている。ただし、このような販売戦略を持っているからと言って、そのようなベンダーが全て“悪徳”というわけではない。これは、良くも悪くもベンダーが有効だと信じている製品やサービスをできるだけ顧客に届けたい気持ちの表れと言い換えることもできるだろう。

 しかし、それでもそのようなベンダーが提供するセキュリティ対策は、気休め程度にしかならないだろう。例え同業他社の2倍、3倍のコストや労力をかけて対策をしていたとしても、攻撃者にとってその対策が既に無効化されていればほとんど意味がない。セキュリティ対策製品の数がいくつか増えたからといって、時間稼ぎにもならない。攻撃の巧妙化によって今ではセキュリティ製品単体では防御しにくい状況となり、回避策も研究されているという理由から、従来の対策では効果を発揮できないのだ。このように一般的な中小企業がつい実施してしまう、お茶を濁すような同業他社レベルのセキュリティ対策は、非常に効果が薄いと言わざるを得ない。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ