第26回 「標的型攻撃対策」ブームの終わりとその先にあるもの：日本型セキュリティの現実と理想（2/4 ページ）

[武田一城，ITmedia]

1年間でずいぶん見かけなくなった「標的型攻撃対策」

　この1年間、セキュリティ対策分野では、画期的な対策手法の出現やこれまでの防御が全て無効化されてしまう新しい攻撃手法が出現したというニュースもなかった。新たに知名度が一気に向上したのはランサムウェアだが、これは感染したPCの情報を人質のようにして身代金を要求するという手口のみが凶悪なのであって、実際にはマルウェアの一種でしかない。この連載でも取り上げたように、犯行の考え方はインターネットの普及前からあるものだ。これによってセキュリティ対策の現状がひっくり返るようなことにはないだろう。

　しかし、「標的型攻撃対策」に限って見てみると、少々状況は異なる。1年前の2015年は、まだこの対策が全盛期と呼んでもいい時期だったが、現在では、例えばセキュリティ対策セミナーなどでも「標的型攻撃対策」をうたうものはほとんど見られなくなった。

　まず、標的型攻撃事件から対策ニーズが醸成され、ユーザーが対策を実施するまでの流れを以下の表に示そう。

ユーザーが標的型攻撃対策を実施するまでの流れ

　この流れは、セキュリティや情報通信分野に限らず、組織の収益に直結しない分野への投資ではよくある話だ。なぜなら、収益に直結するものであれば、必ず費用対効果を検討されるが、そうでないものは、導入の効果を測るのが難しい。それに、同じセキュリティ対策でもSQLインジェクションやランサムウェアといった攻撃手法に直結する対策ならば、その必要性も効果も測りやすいが、標的型攻撃対策はそうではない。

　「標的型攻撃対策」という言葉は、“無差別ではない攻撃全てを攻撃手法に限らず対策できる”と言っているに等しい。しかし、そのような万能な対策ができる都合の良いソリューションや製品・サービスなど存在するはずがない。標的型攻撃対策ソリューションと呼ばれるもの全てに意味がないわけではないが、この言葉には、このような詭弁が含まれていることをベンダー側もユーザー側もそろそろ理解すべきだろう。

　「標的型攻撃対策」という言葉が世の中でそれほど見かけなくなり廃れてしまったのは、この本質に市場が気づいたからでも、セキュリティ対策をする企業のほとんどが標的型攻撃のための対策が済ませたということでもないだろう。その理由は「標的型攻撃が騒がれてから5年が過ぎてしまったから」という一点だけだと筆者は考えている。

　なぜ5年かというと、勘の良い読者はすでにお気づきかもしれないが、一般的なネットワークなどのシステムの更新周期だ。つまり、標的型攻撃事件の起こった2011年以後に実施した前回のシステム更新の際になんらかの製品やサービスを導入することで「標的型攻撃対策」は済んでしまったことになっているのだ。そのため、顧客は“いまさら対策済みの分野に投資することはない”のだ。だから、高額のプロモーション費をかけて、セキュリティベンダーがこの脅威を宣伝することは今後それほどないだろう。

　このように、セキュリティ対策製品やサービスを取り扱うベンダーにとってドル箱だった「標的型攻撃対策」ブームは終わりを迎えた。マーケッターとしての筆者の予想では、APT（Advanced Persistent Threat＝持続的で高度な脅威））などの高度な攻撃から守るという非常に難しい課題であることから、もう少し続くと思っていたが、その予想は外れてしまった。

　しかし、そもそも具体的な脅威が何か分かっていないのに、そこを議論せずに始まったブームなのだから、当然と言えば当然だ。だからこそ、実施した対策が有効だったかどうかも議論せずに対策済みとして終ってしまうのも致し方ない。とにかく、この5年間続いた標的型攻撃対策ブームの終わりが、この1年間のセキュリティ市場で最も大きいと感じた変化だ。