サイバー攻撃に遭わない会社は価値がない? セキュリティを真剣に考えてほしい理由:ハギーのデジタル道しるべ(1/3 ページ)
セキュリティの必要性が叫ばれているものの、残念ながら「真剣」に取り組む企業はそれほど多くはない。現場で感じる“見えない”危険の状況から、セキュリティが必要な理由を改めて伝えたい。
筆者は30年近く情報セキュリティの仕事に関わってきたが、その間に加害者(内部犯行者やサイバー攻撃者など)と被害者(省庁・自治体、企業など)の力関係は、徐々に変化している。最近では加害者の力が急激に増大し、たぶん通常の企業や組織では歯が立たなくなってきた。
その状況を実際に目撃していると、企業や組織が情報セキュリティへ真剣に取り組まなければ、非常にまずい事態になると感じている。今回は、セキュリティにあまり詳しくない人が知るべきことを取り上げたい。それは現場でセキュリティに関わっている人が、ぜひ周囲にお伝えしてほしいことでもある。
狙われた1000社と報告した数十社
通常の企業や組織では歯が立たない――その典型的な最近の例が、日本年金機構に対するサイバー攻撃である。実は、この攻撃が日本年金機構だけを狙ったわけではなく、少なくとも1000社以上の企業や団体を標的にした可能性があり、その事実を把握して監督官庁にきちんと報告した企業は、たったの数十社だったという。
筆者は、関係者の一人としてこのことを知っていた。情報セキュリティの仕事では秘密保持契約を締結するのが一般的で、個別具体的な内容を紹介することは難しいが、NHKが報じたことで、やっとこうした場で話せるようになった。
以前の記事でも触れたが、筆者がお会いした米国防総省の関係者は、「日本人の感性はおかしいのではないか? 既に米国の観測結果で毎年莫大な価値を持つ情報が盗まれているのは明らかなのに、ほとんど騒がれていない。共産国でもここまで情報統制するのは難しい」と話していた。被害金額は推定で1000億円を上回るという。
この関係者の「なぜ?」に筆者は2つの見方を提示した。「感性がおかしいのではないか?」との問いに対しては、企業側が株主代表訴訟などを恐れ、攻撃されている事実を知りながら隠ぺいしていると答えた。筆者の経験上その数は極めて少ないが、ごく一部の企業がそのように対応していることを知っている。
もう1つの「ほとんど騒がれていないのはなぜか?」という点は、恐ろしいことに、大部分の企業がそもそも攻撃されても気がつかないという事実があるからに他ならない。今から10年ほど前にJPCERT コーディネーションセンターとTelecom-ISAC(現:ICT-ISAC)、主要なインターネットサービスプロバイダーの15社が協力して、PCをネットへつないだ場合の危険性を調べたことがあった。
その結果、日本のPCの2%〜2.5%がマルウェアに感染していることが分かった。LAN全体が感染しているアドレスも見つかったといわれるが、現在のPCの利用環境なら100万台規模に上るだろう。また、何も対策をしていないPCをネットにつなげば平均4分でマルウェアに感染する。新しいPCをネットへつなぐ前には、バンドルされているものでも、無料のものでも良いが、ウイルス対策ソフトを最新状態にしないといけない。
これらは初心者における基本的な事項だろう。10年前のこうした状況は今でも同様だと想定されるが、そもそもその事実にいまだ気が付いていない。
2000年代はセキュリティ対策の進展でマルウェア感染率が徐々に低下した成果もあった。しかし、現在でもセキュリティへの関心が低い人は少なくない(旧サイバークリーンセンターが2010年9月に発行したPDF版レポートより)
関連記事
- 年金機構事件から1年、日本が至急やるべき10の対策と心構え
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。 - 疲弊する情報セキュリティの現場と「無知な」社長の心の内
「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。 - かっこいいサイバー攻撃対策とかより先にやるべきセキュリティ対策
マスコミでもサイバー攻撃が取り上げられるようになり、その対策がブームになった。しかし職場にはサイバー攻撃に狙われるよりも残念な状況があちらこちらにある。まずは先にやってほしい対策のポイントを紹介したい。 - 「使えないシステムにカネ消えた……」 そんな状況を変えるには?
日本はIoTやビッグデータといった新しいモノが好きだ。そんな企業のトップからは、情報セキュリティの仕事にちょっと後悔を感じるほどの残念な声を聞く。だからこそ、新しいモノを失敗させない方法を提示してみたい。
Copyright © ITmedia, Inc. All Rights Reserved.