これまで、企業のセキュリティ対策は「できるだけサイバー攻撃にやられないようにする」ことにスポットが当たってきた。企業の経営層も「自社がサイバー攻撃を受けないようにするにはどうすればいいのか」「仮に攻撃を受けた場合にどう防ぐのか」といった点に目が向いているだろう。

 しかし、例えばサイバー攻撃に起因する情報漏えいへの対策を考えた場合、「サイバー攻撃を防ぐことで情報が漏えいしないようにする」ことは非常に難しい。攻撃者が100回攻撃したとすると、攻撃者はそのうちの1回でも成功すれば情報を盗み出せる。一方、防御側は100回の攻撃をすべて防ぐ必要がある。サイバー攻撃を巡る攻防は、そもそも防御側が圧倒的に不利な戦いなのだ。

 これまでのセキュリティ対策は、サイバー攻撃を防ぐための障壁を高くというアプローチが主流だった。しかし、今はこれだけでは企業のシステムを十分に守ることができない。対策が突破されてしまった場合の被害が大きくなってしまうからだ。今後重要になるのは、「破られないことが前提の対策」ではなく、「突破されることが前提の対策」だ。

 システム管理者は、そうした「突破されることが前提」という、一見矛盾したようなセキュリティ対策を経営層に理解してもらわなければならない。

現実としてウイルス感染は防ぎきれない

 経営層に説明する上でまず押さえておきたいのは、サイバー攻撃の手法がより狡猾かつ凶悪になってきていることだ。

 サイバー攻撃全体に占める割合が少ないとはいえ、セキュリティ更新プログラムの提供前に実施される「ゼロデイ攻撃」は頻繁に報道されている。これはウイルス対策ソフトやセキュリティ更新プログラムの適用といった、既存の一般的なセキュリティ対策では防ぎきれない可能性がある。