禁止すると文句が出るが、高価な対策には手が出ない。では、どうすべき？

サイバー攻撃でIT部門に“しわ寄せ”が

　近年はサイバー攻撃の手口が悪質・巧妙化し、その目的も変化している。以前は愉快犯的な行為が主流だったが、今は攻撃が組織化し執拗にターゲットを狙ってくる。もちろんその目的は企業の保持する情報や金銭の搾取だ。

　被害を受けた企業のダメージや社会的なインパクトは甚大だ。最近でも様々な企業や団体の個人情報が漏えいし、連日、紙面やテレビを賑わせた。

　海外に目を向けると、米国では10万人の納税者アカウントや米政府職員400万人の情報流出が発覚し、大きな問題となっており、サイバー攻撃のリスクは世界的な広がりを見せている。金銭的な被害も増えつつある。国内の不正送金被害は29憶円にのぼると言われ、日本、ロシア、オランダ、スイス、米国の銀行から攻撃者が盗み取った金額は数百万ドルに達するとの試算もある。世界4大会計事務所の1つであるKPMGは、最新レポートの中で「今後の金融危機の大きなリスク要因になるのは、世界的な経済不況ではなく、サイバー攻撃である」と指摘している。

　明るみに出た被害は、ほんの序章にすぎない。あるセキュリティベンダーの調査によれば、企業の7割は何らかのセキュリティ事故を経験し、9割は未知の脅威に既に感染しているという。多くの企業がその実態を知らないだけで、既に標的にされている可能性が高い。

　背景にあるのが「気づけない脅威」の拡大である。標的型攻撃をはじめとする昨今のサイバー攻撃は姿・形を変え、様々な手口で侵入を試みる。既知の攻撃パターンをもとに検知する従来型のセキュリティ対策では対応が間に合わず、100％防御することが困難なのだ。ITシステムの多様化・複雑化も対応を難しいものにしている。「セキュリティ対策はIT部門の仕事」と捉えられ、社内の協力が得にくい事情もある。これらの課題を払拭し、セキュリティレベルの底上げを図るにはどうすべきなのか。

図1●サイバー攻撃の目的と被害の変化

[画像のクリックで拡大表示]

以前は感染させることが目的の恣意的な攻撃が主流。攻撃者は単独犯で、大きな被害に発展するケースは稀だった。今は攻撃が組織化され、情報や金銭の搾取など明確な意図をもって攻撃を仕掛けてくる