情報システム部門で社内ネットワークを担当する小部田(こぶた)さんは、「インターネットは危険」という話を聞いても安心していた。だって、うちの会社は、どのパソコンにもウイルス対策ソフトを入れているし、ファイアウオールも導入している。ところが最近になって、「取引先からのメールに添付されたファイルを開いたが、中身が空っぽだった」「いつも閲覧しているWebページを見たら、突然Webブラウザーが強制終了された」「パソコンの動きが普段より重い気がする」というユーザーの声が相次いだ。そう、ウイルスに感染してしまったのだ。
ウイルス対策ソフトやファイアウオールを導入している企業が、ウイルスに感染するケースは珍しくない。情報処理推進機構(IPA)が2014年1月に発表したアンケート結果によれば、1881社のうち18.3%もの企業が、1年の間に社内ネットワークでウイルスの感染を発見したという(図1-1)。感染に気付いていない企業を含めれば、感染した企業は2割を超えるだろう。一方セキュリティ対策は、94.2%の企業がウイルス対策ソフトを導入し、82.3%の企業がファイアウオールを導入していた。もはやウイルス対策ソフトとファイアウオールだけでは、ウイルスの侵入を100%防げない。
重大な被害を防ぐ対策を
だからウイルスの侵入を防ぐことにこだわるよりも、情報の破壊や漏洩、他社への攻撃といった重大な被害を引き起こさないセキュリティ対策を考えよう。実際、感染した企業が重大な被害を受けているわけではない。先ほどの調査によれば、「情報の破壊」(2.6%)や「情報の漏洩」(1.2%)、「ウイルスメールなどの発信」(4.3%)、「取引先への感染拡大」(1.7%)といった重大な被害はごくわずかだ。多くの場合、「パソコン単体の停止」(38.6%)や「個人の業務停滞」(32.5%)で済んでいる。
そのためにやみくもに高価な機器やサービスを使って防御する必要はない。おとぎ話の「三匹のこぶた」で例えれば、費用や手間がかかるレンガの家で身を守るのではなく、ワラの家をうまく補強して十分強固な対策にする。限られた予算の中で重大な被害を引き起こさないためには、1つの手段で100%の対策を講じるのではなく、攻撃側の手の内を見越して“9割”の対策を組み合わせる方が効果的だ。