サイバー攻撃の被害やヒューマンエラーによる情報漏洩など、企業におけるセキュリティの重要性はますます高まっている。全てのモノがインターネットに接続するIoT(Internet of Things)時代の到来、ウエアラブル機器の普及など、企業を取り巻く環境がドラスティックに変化していく中、これからのセキュリティ対策はどうあるべきか。
ガートナー ジャパンのリサーチ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当 主席アナリストの礒田優一氏は、IoT/ウエアラブルの普及で新たなセキュリティが顕在化すると指摘する一方、「これからのセキュリティを考えるときに、企業には『ファシリテーター』の存在が不可欠」と話す。
標的型攻撃などサイバー攻撃の被害が後を絶たない。今、日本企業を取り巻くセキュリティリスクをどう捉えているのか。
2014年に国内におけるセキュリティの動向が大きく変わったと捉えている。ガートナーに相談や問い合わせのあった内容を調べたら、2013年まではセキュリティに関する法規制にどう対応すべきかといった問い合わせや、地震など自然災害への対処をどうすべきかといった相談が多かった。
ところが、2014年には内部犯罪やサイバー攻撃への対策についての相談・問い合わせが急増した。ベネッセにおける個人情報漏洩事件が明るみに出たことに加えて、標的型攻撃などのサイバー攻撃による被害が継続しているからだ。
ガートナーでは、デジタル社会をけん引する要素としてソーシャル、クラウド、モバイル、インフォメーション(ビッグデータ)の四つを「Nexus of Forces(力の結節)」として提唱している。これら四つの進展に伴い、セキュリティのリスクはさらに拡大すると考えている。
これら四つの中で、特にセキュリティリスクの懸念があるものは。
クラウドでは、DropBoxなどコンシューマー向けクラウドを社員が勝手に使って、企業の重要なデータをやり取りしてしまうことに、どう対策を講じるかが問題となっている。企業向けクラウドだけではなく、コンシューマー向けクラウドにおけるセキュリティ対策に注目が集まっている。これは、シャドーITに対するセキュリティとも重なり、今まさに重要な問題だ。
ここで勘違いをしてはならないのは、セキュリティに対するリスクは以前から存在していたということ。例えば従業員の内部犯行によって重要なデータが持ち出されてしまうことのリスク、システムの脆弱性が突かれ情報が漏洩してしまうリスクは以前からあったし、犯行や攻撃の手口も以前からあった。
にもかかわらず、話題となる事件や事故が起き、それがメディアで大々的に取り上げられることで、一気に注目が集まり、多くの企業がこぞってその対策に乗り出している。何か事件や事故が起きてからでないと本腰を入れてセキュリティ対策について考えないというのでは、いつまでたってもセキュリティ対策が後手に回ってしまう。そこが今の問題であると認識している。
一つの例を挙げると、不正ログインで情報が漏洩した事件や事故は継続して発生しているが、メディアに大きく取り上げられることはそれほど多くない。そのため、「パスワードの使い回しをしない」といった本当に基本的なセキュリティ対策ですら社員に徹底していないという企業がまだまだ多いのが実情だ。
もちろん、以前からあるとは言え、サイバー攻撃の手口も進化している。不正ログインも手口が進化しているので、二要素認証といった新しい技術も出てきている。手口も対策も進化しているが、大切なのは自分の企業にとって大切なセキュリティ対策を理解し、その対策を社内にしっかりと定着させ、社員に実践させるということ。内部犯行によって重要なデータの持ち出しが事件になったからといって、全ての企業が何をさておいても内部犯行への対策をとるべきとはならない。その企業にとって必要なセキュリティ対策があるはずで、それを見極めることが重要だ。
