相次ぐサイバー攻撃被害 考え直したいセキュリティ対策(3/4 ページ)
多くの組織がセキュリティ対策へ取り組んできた“はず”なのに、サイバー攻撃などの被害が止まないのは、なぜだろうか。セキュリティ対策の本質を考え直してみたい。
「わが社は大丈夫」?
同じ調査からはセキュリティに対するリスク認識のレベルと実害発生の関係性もみえてくる。
セキュリティを経営リスクとして「十分認識している」とした組織の実害発生率は46.2%、「ある程度認識している」とした組織では55.5%、「十分認識していない」では61.8%になり、リスクとして認識していない組織ほど実害を経験した割合が高い。
染谷氏によれば、回答組織のコメントでは「当社に盗まれるような情報はない」「有名企業ではないので狙われない」といったものがみられた。しかし染谷氏は、「標的型攻撃で狙われるのは大企業や機密性の高い情報を扱う特殊な企業だけというのは、間違った認識です」と指摘する。
前述したように、攻撃者は「カネになる情報」を盗むために手段を選ばない。もし攻撃の手段がないなら、まずは手段を確保する。「カネになる情報」を持つ企業へ簡単に近付けないなら、その企業と何らかの関係を持つ周辺企業からまず攻略して、侵入ルートを確保する。「自分たちのところに情報はない」というのは、勝手な思い込みとも言えそうだ。
調査では組織にどんなリスクを認識しているのかも尋ねている。組織がリスクと感じる上位10項目は次の通り(割合は「感じる」「やや感じる」の合計)。
| 順位 | 項目 | 割合 |
|---|---|---|
| 1 | 投資の効果が見えにくい | 62.5% |
| 2 | 社員のリテラシー、意識が低い | 57.8% |
| 3 | 対策に必要な人材が足りない | 53.7% |
| 4 | 投資の必要性を上層部に説得するための材料に欠けている | 53.3% |
| 5 | 予算がない、足りない | 51.4% |
| 6 | 対策を行う人材のスキルが足りない | 47.8% |
| 7 | 社員がUSBなどの端末を社内に持ち込んでいる | 46.6% |
| 8 | 部下から必要な対策の提案が足りない | 41.0% |
| 9 | 社員がルールやガイドラインを守らない | 40.5% |
| 10 | 自組織が攻撃されていることに気付きにくい | 40.4% |
「対策に必要な人材やスキルが足りない」と答えた組織は、セキュリティ対策へ前向きに取り組みながらも、対策を手掛ける人的リソースに課題を抱えていると読み取れる。「投資の効果が見えにくい」との回答は、対策に取り組みながらも手応えを得にくいといったものだろう。標的型攻撃のような脅威への対策では特に難しい点かもしれない。
しかしそれら以外の回答は、「セキュリティ対策をする気があるの?」と疑問を感じるものばかりだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い
「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか?
「標的型攻撃ブーム」で騒ぐより先にやること
日本年金機構での情報漏えいを皮切りに、標的型攻撃に関する報道が相次ぐ。長年対策を呼び掛けてきたセキュリティ業界からは、「今度こそ適切な対応を」と願う声が上がる。
年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。
年金機構の漏えい事件は対岸の火事ではない
日本年金機構の情報漏えい事件は、対岸の火事ではない。明らかになった数々の管理体制の不備は、マイナンバー制度で危ないとされる企業のリスクと同じだからだ。
マルウェア感染前提の対策と運用の徹底を
IPAは感染を防ぐだけでなく、感染したことによる被害を少なくするための対策とその運用の実施を改めて呼び掛けた。