標的型攻撃やランサムウェアなどに代表されるように、サイバー攻撃手法が高度化・複雑化する一方にあるなか、いまや情報セキュリティ対策には、企業の規模を問わず一定以上の内容が求められるようになっている。しかしながら、コスト面でも人材面でも厳しい制約を抱える中堅・中小企業(以下、SMB)にとって、未知の脅威にも対応し得るセキュリティ・レベルを維持することは至難の技だ。

本稿では、調査機関のガートナー(※)に18年連続で"リーダー・クアドラント"として位置づけられた、チェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ・エキスパート 小林 晋崇氏に、企業を取り巻くセキュリティの最新事情を伺ったのでその内容を2回にわたり紹介する。
(※)米国に本拠地をもつ、業界最大のICTアドバイザリ企業

前編では、特にSMBにとっての課題を明確にし、後編では低コストかつ最小限の人的負担で実現可能なセキュリティ対策へのアプローチについて注目する。

SMBにも大企業並みのセキュリティ対策が求められる理由

チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部 セキュリティ・エキスパート 小林 晋崇氏

昨年6月に明らかになった、標的型攻撃に起因する日本年金機構での大規模な個人情報漏洩事件は、自社の情報セキュリティ対策について見つめなおすきっかけを多くの日本企業に与えることとなった。しかし、多くのSMBでは、セキュリティ専門の人材を抱える余裕がなく、ますます巧妙化・複雑化するサイバー攻撃に対して十分な対策が施せていないというのが現実だ。

しかも厄介なのが、ここにきて攻撃者は、セキュリティ・レベルの低いSMBをターゲットとする傾向が強まっている点である。

「標的型攻撃をはじめとした最近のサイバー攻撃の手口を見ていると、攻撃者がある大企業を最終ターゲットとした場合、その取引先のSMBに最初に攻撃を仕掛けるケースが目立ちます。一般的に大企業はセキュリティ対策が進んでいるためガードが固いことから、よりセキュリティ・レベルの低い取引先のSMBなどにマルウェア等を送りつけて感染させるのです。そして、そこから盗みだした情報を足がかりにして、当初のターゲットである企業へ侵入するという手順を踏みます」と小林氏は解説する。

このように、自社が攻撃者の踏み台にされて顧客企業に大きな被害を与えてしまったとしたら、果たしてどのような状況に陥るか、想像していただきたい。被害を被った顧客企業からの信用失墜はもちろんのこと、業界全体、さらには社会全体からの信用を失うことは逃れられないだろう。また運良く被害が生じなかったとしても、踏み台にされたという事実が知られただけでも、日頃からのセキュリティ対策の甘さを問われる危険性もある。

「つまり、現在のセキュリティ対策には、企業の規模はあまり関係がなくなっているということです。たとえSMBであっても、大企業と比べて遜色のない内容が求められるようになっていると言っていいでしょう」と小林氏は警鐘を鳴らす。

もはやアンチウイルスでは十分ではない!

しかし、SMBにとって大きな障壁となるのが、冒頭で触れたコストと人材/体制面の問題だ。一般に、セキュリティ対策にかかるコストは経営者からみれば負のコストでしかなく、できる限り切り詰めたいというのが本音だろう。それどころか、そもそもなぜセキュリティ対策にコストをかける必要があるのか、十分に理解していないケースも多々あるに違いない。

そして人材面に目を向ければ、セキュリティ専門のスタッフどころか、情報システム担当者も1人もしくは2人ぐらいしか社内に存在しないといったSMBが一般的だ。 このような情報システム担当者は、PCやネットワークの管理といった日々の通常業務に追われており、たとえ大企業並みのセキュリティ対策の必要性について認識していたとしても、とても手がまわらないし、十分なノウハウや技術もないといった状況にある。

だからこそ、セキュリティ・ソリューションの力を借りる効果は、ある意味、大企業以上に高いことになる。だが、ここで注意しなければいけないのが、そのセキュリティ・ソリューションとして世間に知られている、アンチウイルスの有効性についてだ。

「実は数年前ぐらい前から、もはやアンチウイルスは十分なセキュリティ効果を発揮しない、というのが定説となっています。2014年、米国大手セキュリティ企業幹部が『ウイルス対策ソフトは死んだ』と発言し話題をよびましたが、その理由の1つとして、特定ウイルスの亜種などを、攻撃者が簡単につくることができるソフトウェアが出まわっていることが挙げられるでしょう。そうした亜種のウイルスは、元となるウイルスが既知のものであったとしても、未知の脅威となってしまうことから、シグネチャをベースとしたアンチウイルスでは検知することができないのです。だからこそ、アンチウイルスだけではなく、IPS(侵入防止システム)やアプリケーションコントロール、そしてサンドボックスなど、複数の手法を組み合わせた多層防御が強く求められているのです」と小林氏は言う。

ただし、一般的には防御するソリューションや機能の種類が増えれば増えるほど、当然ながらコストが膨らんでしまうことになる。これでは予算に余裕のないSMBではなかなか手が出しにくく問題の解決にはつながらない。そこで、予算や人のリソースが限られたSMBであっても、無理なく大企業レベルのセキュリティ対策を施すことができるアプローチについて、後編では紹介することにしよう。

■本稿後編はこちら:最新の脅威に中堅・中小企業はどう立ち向かえばいいのか?- 後編

(マイナビニュース広告企画 : 提供 チェック・ポイント・ソフトウェア・テクノロジーズ)

[PR]提供:チェックポイント