相次ぐサイバー攻撃被害 考え直したいセキュリティ対策(4/4 ページ)
多くの組織がセキュリティ対策へ取り組んできた“はず”なのに、サイバー攻撃などの被害が止まないのは、なぜだろうか。セキュリティ対策の本質を考え直してみたい。
セキュリティ対策をする理由
「対策手法が古いまま」「リスク意識が低い」「うちには関係ない」。トレンドマイクロの調査からは、こうした組織のセキュリティ実態が浮かび上がる。標的型攻撃の被害を発表した組織がこうした実態にあったのかは不明だが、染谷氏は「後ろめたい事実を隠したがる組織が多い中で、被害の公表は勇気の要る行動だといえるでしょう」と評価する。
そもそも組織は、なぜセキュリティ対策をするのだろうか。標的攻撃のような脅威が“難病”だとすれば、セキュリティ対策は組織の“健康”を維持するための行動だろう。組織の健康とは、健全なビジネスを持続することともいえ、ビジネスを支える人材や情報、顧客、関係者を守ることがセキュリティ対策の本質といえる。
その本質に立って考えれば、脅威や被害を“他人事”として済ませ、セキュリティ対策を疎かにすることは難しいはず。それでも調査からは上述の実態が浮かんでくる。染谷氏は、「利益を生まないセキュリティ対策に資金が必要であるなど、複雑かつ構造的な問題を抱えています。しかし、少なくとも『何を守るのか』というスタート地点に立ち戻って、セキュリティ対策をしていくべきではないでしょうか」と指摘する。
トレンドマイクロの調査で、「情報資産の分類や重要度を定義して定期的にチェックしている」という組織は24%にとどまった。多くの人は、健康を維持するために健康診断を受けて体の状態をチェックしている。ビジネスを支える情報資産についても、同じことがいえるのではないだろうか。組織の健康状態を把握して、不十分なところは改善をする。改善の方法には、ランニングのように自分でできることもあれば、専門家のサポートが必要なものもあるだろう。
「セキュリティ対策は、当事者意識を持って大切なものを守るために今の組織に足りているところ、足りないところを確認すべきです。たとえ高度な対策を講じられなくても、万一の場合の対応手順をきちんと文書化するなどの備えがあれば、被害を少なくできるはずです」(染谷氏)
関連記事
- きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い
「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか? - 「標的型攻撃ブーム」で騒ぐより先にやること
日本年金機構での情報漏えいを皮切りに、標的型攻撃に関する報道が相次ぐ。長年対策を呼び掛けてきたセキュリティ業界からは、「今度こそ適切な対応を」と願う声が上がる。 - 年金機構の情報漏えい、組織の問題点を探る
6月1日に約125万件もの情報漏えいを発表した「日本年金機構」。情報セキュリティなどの状況がどうだったのかについて考察してみたい。 - 年金機構の漏えい事件は対岸の火事ではない
日本年金機構の情報漏えい事件は、対岸の火事ではない。明らかになった数々の管理体制の不備は、マイナンバー制度で危ないとされる企業のリスクと同じだからだ。 - マルウェア感染前提の対策と運用の徹底を
IPAは感染を防ぐだけでなく、感染したことによる被害を少なくするための対策とその運用の実施を改めて呼び掛けた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.