Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サイバー攻撃は発生する前提が重要。

産経デジタルの1月23日記事に、サイバー攻撃の現状について参考になる記事がありましたので、つぶやいてみます。

www.iza.ne.jp

英政府の国家サイバーセキュリティーセンターのキアラン・マーティン所長は英紙ガーディアンとのインタビューで、英国に対する大規模なサイバー攻撃「起きるかどうかではない、いつかという問題だ」と述べ、2年以内に大規模攻撃がある可能性を指摘した。

 

この懸念は、英国だけではなく、日本でもほぼ同様であると考えるべきです。2017年11月に改訂された「サイバーセキュリティ経営ガイドライン」の中でも、サイバー攻撃に対する懸念については、「避けられない」として、その対策についての重要性が増している事が挙げられています。

 

このように、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。(サイバーセキュリティ経営ガイドライン Ver2.0より引用)

 

しかし、経営者だけでなく、IT担当者であっても何故か「まだ大丈夫」と考えている方は多い気がします。その中には大別すると二つの考え方があり、一つは「対策は(一応)しているので大丈夫」という過信タイプ。もうひとつは、「うちには狙われる資産が無いので大丈夫」という中小規模の会社によくあるタイプです。

日本企業によくあるこうした考え方は、サイバー対策(セキュリティ対策全般)が直接的な利益を生まないという認識も相まって、対策予算が増えない状況につながっている様です。その他、外部からの攻撃リスクを正しく認識せずに、対策予算を本来の優先度が低いリスクに対してかけている企も結構多い印象です。

その背景にあるのは、「サイバー攻撃は自分のところにはこない」という根拠の無い思い込みにある気がします。ところが、今や攻撃側は、幅広く脆弱性が無いかマルウェア付きメールや、脆弱性検索ツールで地引網的な手法を使い、まずは攻撃対象を探しているのであって、企業の大小に関わらず、(偶然)脆弱性が出てくれば、とりあえず攻撃をかけてみているのです。

そうした意味では、英国の置かれている状況と同じように、「攻撃はされる」「攻撃は既にされている」という立場でセキュリティ対策を考えるべきであり、それが出来ない企業は、近い将来、大きな被害を出す可能性があるのだと認識すべき時代になっていると思います。

 

参考:サイバーセキュリティ経営ガイドライン概要説明部分

・企業のITの利活用は、業務の効率化による企業の収益性向上だけでなく、グローバルな競争をする上で根幹をなす企業として必須の条件となっている。さらに、IoTといった新たな価値を生み出す技術が普及しつつある中で、AIやビッグデータなども活用した、新しい製品やサービスを創造し、企業価値や国際競争力を持ったビジネスを構築していくことが企業として求められている。

サイバー攻撃は年々高度化、巧妙化してきており、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生している。さらには、攻撃の踏み台にされて外部へ攻撃をしてしまうだけでなく、国の安全保障上重要な技術情報の流出、重要インフラにおける供給停止など、国民の社会生活に重大な影響を及ぼす可能性のある攻撃も発生しており、その脅威は増大してきている。

・経営者が適切なセキュリティ投資を行わずに社会に対して損害を与えてしまった場合、社会からリスク対応の是非、さらには経営責任や法的責任が問われる可能性がある。また、国内外に関わらずサプライチェーンのセキュリティ対策の必要性も高まっており、業務を請け負う企業にあっては、国際的なビジネスに影響をもたらす可能性が出てきている。

 

ダメージをくらう人のイラスト

 

更新履歴

  • 2018年1月28日 AM(予約投稿)