サイバーセキュリティに完璧はない

多くの人がそう思っているし、実際、これは事実だ。人間が作ったものは必ず人間が壊せるのと同じように、サイバーセキュリティは"いたちごっこ"の世界なのだ。新たな攻撃手法が発覚し、その回避策を講じたとしても、すぐにまた新たな攻撃手法が登場する。

「これ1本で大丈夫!」と喧伝しているセキュリティ対策製品があるなら、そんなことはまったくなく、そのメーカーの姿勢や技術力を疑ってもいいくらいだと思う。

完璧がないサイバーセキュリティの世界では、どこまで対策を講じたかということが重要である。もちろん、限りなく100%に近い防御態勢をとるのが好ましいが、現実的には予算の上限もある。しかし、ある一定レベルの対応をしていなければ、企業としては「過失」になる。この「過失」は、情報漏洩を起こして損害を賠償しなければならなくなった時、企業が支払う損害賠償金の金額と責任者が負うべき責任になるのだ。

「過失」になるかどうかのラインは、常に変動している。簡単に言うと、10年前の過失ラインと今の過失ラインはかなり違っている。10年以上前のサイバー攻撃の手法と今のサイバー攻撃の手法は異なる上、情報が持つ価値や意味合いも変わってきているからだ。

つまり、過失ラインは政府機関やサイバーセキュリティの団体が発行しているセキュリティガイドラインを規範に、専門家の意見を仰ぎつつ対応していくということになる。

Doctor Web CEO ボリス・シャロフ氏

さて、本題に入る。ここまでの話はすごく当たり前の話であって、多くの企業が認識していることだろう。しかし、専門家の意見を聞いた後は、社内の誰かが判断をしなければいけない。そして、その判断をするための情報や知識をどこからか入手する必要があるのだが、日本人の多くが情報経路に偏りがあるような気がして、本稿を執筆した。

皆さんが、セキュリティに関して情報を入手する場合、どんな手段をお使いだろうか。以下の4点辺りが、妥当なところだろう。

  1. ニュース
  2. セミナー
  3. 政府・業界団体の情報発信
  4. 専門家のアドバイス

上記の順番に他意はないが、多くの人がニュースやセミナーを利用しているのではないだろうか。しかし、大事なのはその先のソースである。先日、来日したDoctor WebのCEOを務めるボリス・シャロフ氏がこんなことを言っていた。

日本企業でセキュリティを担当されている方の情報ソースに偏りが多いように思える。情報のソースをたどってみると、米国か日本が多い。日本が多いのは仕方ないが、サイバーセキュリティに強い国は米国以外にもたくさんある。サイバーセキュリティは全方位的な対応が必要であり、たった1つの穴があってもそこから侵入されてしまう。それゆえ、攻撃手法とその対策も全方位的に把握しておくべきだろう。

まさにその通りだと思う。サイバーセキュリティの攻撃元として、どのような国が多いだろうか。中国、ロシア、イラン、北朝鮮などなどいろいろな国が挙がるはずだ。

彼を知り己を知れば百戦殆からず

攻撃者について知りたいのなら、米国系の企業の話ばかりを聞くのではなく、中国、ロシア、イラン、北朝鮮の企業の話を聞くべきではないだろうか。サイバーセキュリティ攻撃を多く仕掛ける多くの国では、自国でも多くの被害を受けていることが多い。当然、その国の攻撃者を迎え撃つのに適した対策ソリューションを持っている会社は、百戦錬磨だったりするのだ。サイバーセキュリティの情報収集も対策も全方位をお勧めする。

著者プロフィール

吉政忠志


吉政創成株式会社を2010年に創業し、月額20万円からのマーケティングアウトソーシングを国内大手IT企業向けに提供。教育分野では、Linux試験、XML試験などを立ち上げ、文部科学省の専門委員も担当。現在、PHP試験、Python試験、Ruby on Rails試験を主宰する。DoctorWeb Pacific マーケティングアドバイザーを兼任。