「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き：半径300メートルのIT

JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。

[宮田健，ITmedia]

　すごい資料を読んだ気がします。日本ネットワークセキュリティ協会（JNSA）の調査研究部会インシデント被害調査ワーキンググループは2024年7月18日、「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」という、非常にダイレクトに意図が伝わるタイトルの資料を公開しました。

　この資料は社内研修などでも活用できるようにpptx形式で配布されています。JNSAが伝えたい「サイバー攻撃を受けるとお金がかかる」をシンプルに、そして詳細に伝える、大変素晴らしい資料になっているので、ぜひご一読ください。

「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」（出典：JNSAのWebサイト）

　一方で資料を一読した皆さんは「そんなこと当たり前では」と思ったことでしょう。筆者もこの資料で伝えたいことは理解しているつもりですし、このポイントこそが今、最も理解すべきものだと考えています。それでも実直に、繰り返し、たった一つのことを分かりやすく伝える資料が出てきているということは、日本においてその一点「サイバー攻撃を受けるとお金がかかる」ということがまだ理解されていないという現実を突き付けてきます。

　筆者はこの資料をセキュリティに携わる人たちの“心の叫び”だと受け取りました。同資料を作成したチームの皆さんに敬意を表したいと思います。

VPNを廃止すれば全て解決するのか？　企業が本当に取るべき行動

　自己啓発において「知っている」と「している」の間には大きな隔たりがあり、知識の壁の次には行動の壁、気付きの壁、技術の壁、習慣の壁があるといわれています。

　サイバー攻撃については、かつては「ウチみたいな小さな会社、狙われるわけがない」という声も多かったものの、今ではどんな業種や業態、規模でも被害に遭う可能性があることは理解されてきたのではないでしょうか。

　つまり多くの企業は現状、「知っている」状態にはあるが、その次の行動を取るのが難しい状態です。だからこそ、対策は必要だが何をしていいか分からず、サイバー攻撃を受けるとお金がかかることも何となく理解しながらも、そこから目をそむけているのが実情でしょう。JNSAの資料は、そこを正攻法で突いたものです。

　それでは私たちは次にどのような行動を起こすべきでしょうか。これまでの知識をフル活用すれば、それは「優れたソリューションを買うことではない」ということに気が付くはずです。あるいは今でいうとVPNのようなサイバー攻撃の侵入のきっかけとなるソリューションを使わなければいい、という考え方もあるでしょう。

　ただ、「リスクがあるから使わない」という選択は、必ずしも正しいとは限りません。VPNを廃止するのはある意味簡単ですが、メンテナンスの都合で一律で廃止できなかったり、社長の“鶴の一声”で「社長専用VPNを作れ」といった相反する指示も出てきたりするでしょう（もちろん、面倒な多要素認証など設定させてくれません）。そうなると、多くの従業員が利便性を落とす一方でリスクは残存するという最悪のパターンに陥りかねません。

　つまりソリューションの導入や廃止で解決できるケースは少なく、かつ確実性が高いわけではないということです。そうなると大事なのは「人」が関わるポリシーやコンプライアンスの強化が必要になるのではないでしょうか。

セキュリティの本質はソリューションから人・組織に移行している

　冒頭の資料に戻り、実際のインシデント対応を実施した人のインタビュー内容を読むと、生々しい意見の中に「若手従業員を中心に『今の若者は個人情報漏えいに敏感』との意見もあり、（QUOカードの）配布に踏み切った」や、「今後、EDR（Endpoint Detection and Response）だけでは防げないであろうことも認識している」といったものが含まれていました。

　この他、「指揮官がいない」という意見も挙がっており、もはやソリューションだけでカバーできない範囲にITセキュリティの本質が移ってきていることが分かります。

　これを踏まえるとセキュリティは今、「システムや組織をどう運用していくか」という文脈から考える必要が出ています。当然これはセキュリティ担当者だけが考えるものではありません。経営者だけでもなく、あなた自身がそこに参加していることを理解する必要があります。JNSAの資料では非常に具体的な金額が記されていますが、それが「会社が払ってくれる」と人ごとで捉えるのではなく、自分が属する組織の利益から出ているもの、自分に直結したものであるという認識を持つことが大事です。

　VPNが攻撃対象になっていることは、このコラムでも度々触れています。そして、そこが攻撃を受けると自分の組織にも大きな打撃を与えることが理解できたその後は、「果たして自分のVPNアカウントが漏れたらどうなるのだろうか」というところから、インシデントを“ジブンゴト”として捉えてみてはいかがでしょうか。

　自分が知っているアカウントが多要素認証に対応していなかったり、チームでパスワードを共有していたりといった状況が放置されていれば、そこから変えてみることが「サイバー攻撃を受けるとお金がかかる」という事実へのアンサーになるのではないかと思います。

　JNSAの資料が公開されてから、「サイバー攻撃を受けるとお金がかかる」という当たり前のことが、改めて強調され繰り返し発信されていることの意味を考え続けています。これが理解できない人は退場してもらう、といった考え方もあるかもしれませんが、筆者自身はセキュリティこそ、可能な限り多くの人を対象に、誰も取り残されることなく伝えていくことが重要だと思っています。毎週毎週同じことを書いていると思うかもしれません。それでも、重要なメッセージは繰り返していいんだと再確認できる良い資料でした。

　この資料に1人でも多くの人が目を通していただけることを願っています。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。