最近になってIoTが世間に広くゆき渡ることによって、インターネットはPC上のモノにとどまらず我々の生活に密着するモノへと進歩したため、我々の生活をこれまで以上に便利で何ひとつ不自由のないものに変えました。しかし、それはサイバー攻撃の脅威が我々の生活そのものにも対象に向けられることを意味します。我々はそれを正しくとらえて今のままではよくないと認識する感覚を持ってサイバーセキュリティ対策に臨む必要があるでしょう。この記事では日本が抱え込んでいるセキュリティに対して安心できない原因として残っている事柄とそれを解決するための対策を解説していきます。

 

サイバー攻撃が起こった時に備えるための行動

ここでは、日本におけるサイバー攻撃が起こったことを考慮するために提起される疑問を紹介します。

 

サイバーセキュリティ人材資源の深刻な不足

サイバーセキュリティ人材資源の不足は容易ならざる事態に心が重くなってしまう状態です。経済産業省による2016年の調査段階では13万2060人の不足を推計されており、東京オリンピックの2020年には必要とされている人員の不足は19万3010人までのぼると試算されています。事実として人材不足を実感している企業は全体の半分を超えており、世間に知られていない優れたセキュリティ人材資源を見つけ出すことは、急いで行わなければならない問題となっています。

参照：IT人材の最新動向と将来推計に関する調査結果～報告書概要版～｜経済産業省

 

セキュリティについての意識に曖昧さがある認識の低さ

日本は地球上のすべての地域・国家と比較するとセキュリティ意識が足りないと言われており、それに比例するようにサイバーセキュリティ人材資源も必要性を満たせない量となっています。このような状態が続けば日々大きな進化を遂げるサイバー攻撃から保護することを実行に移せなくなってしまいます。

具体的な例を提示すると、急激に発展を遂げているサイバー攻撃のひとつに標的型メール攻撃があります。標的型メール攻撃では社員をごまかすために、取材要請・求人エントリーといったいつもの業務用メールを装い個人情報を不法に取る行為が多くなっています。

詐欺目的で本物に似せて作られたメールを使うため、リテラシーの低い社員がこれを開いてしまい社内のシステムに甚大な被害が出る危険性もあります。組織や社員がサイバー攻撃の脅威に対する注意や認識が欠けている日本では、社内教育を徹底して今よりもセキュリティ意識をよりいい状態にするよう試みる必要があります。

 

日本が行う義務があるサイバー攻撃に対応するための手段

ここからは、日本が今行うべきと認識されるサイバー攻撃対策について紹介します。

 

サイバーセキュリティ人材資源の育成

日本におけるサイバー攻撃が起こった時に備えるための行動として、セキュリティ人材資源に知識を身につけさせることが絶対に必要です。これは2014年にIPA(情報処理推進機構)により公に宣言された『情報セキュリティ人材の育成に関する基礎調査』をみてもはっきりとしていて疑う余地はありません。

 

この調査によると約23万人のセキュリティ人材資源のうち14万人ほどは、どうしても何らかの知識を身につけさせなければならないため、政府や民間でもあらかじめこういった状態を考慮に入れて人材資源育成に注力している状況となっており、将来的に新しい学術研究機関を設けることによって、高い能力をもった多数のセキュリティ人材資源を送り出せることが必要です。

参照：「情報セキュリティ人材の育成に関する基礎調査」報告書について｜IPA 独立行政法人 情報処理推進機構

 

強い意志を持った経営管理者の積極的な参加

サイバー攻撃対策はビジネス全てを対象とする利潤に直接関係があるため経営者による積極的関与が必要です。組織の中央から最も遠い部分に存在する技術を用いて職務を果たす関係者の十分な理解だけでなく、経営者自らもサイバーセキュリティ対策に積極的にかかわり必要な知識を身に着けていかなくてはなりません。

 

そうでなければ普段は起こり得ないサイバー攻撃による非常事態の時に、サービス停止の判断や対策方法を関係者へ説明する責任と、倫理的な非難を受けうる内容に対する法的な責任を果たせません。情報セキュリティ部門だけに委ねていると状況によく合った取り扱いができなくなり、ビジネス存続の危機にもかかわりますので、サイバー攻撃に効果的に対応するには経営者自身の意識の向上が不可欠です。

 

最も先進的なセキュリティ対策

技術の進歩に伴ってサイバー攻撃の手法や手段はより優れた複雑なものになり続けています。最近では現在持ち得る最高の技術を用いた攻撃に対して、以前から今まで続けられているセキュリティ対策では能力や技術がサイバー攻撃のレベルに達していないケースも出てきています。

 

その最も突出している例として挙げられるのがAIです。AIを使えばシステムの持つ脆弱性を誰でも見つけ出せるようになるほか、AIの持つ高度な分析能力を悪用することによって、これまで以上に念入りに作りこまれた人道に悖るサイバー攻撃ができるようになると言われています。また機械学習によってまるで人間のように操作できるAIも存在し、企業でもAIの脅威に対抗するため『AIを使ったセキュリティ対策』の実施の必要性が叫ばれています。

 

多層防御の実施

悪事の手口などがより複雑でよく考えられたものになっているサイバー攻撃に対処するには、どうしても複数のセキュリティによって多層防御しなければなりません。ひとつのセキュリティだけではより多様にまたは変化に富んでいるサイバー攻撃に対応できません。もっぱらセキュリティに限られたことに従事するプロジェクトを立ち上げるなどして多層構造のセキュリティシステムを構築すべきです。

 

多層防御を成し遂げるために取られるアプローチは企業ごとに種類がたくさんありますが、標的型サイバー攻撃については『内部ネットワーク監視』が効力をもっています。社内ネットワークにおける不審な通信を検出する技術が他よりも優れているため、不正に侵入してくる通信の特定や影響範囲の測定まで可能です。

 

サイバー攻撃対策で自社のセキュリティを高める

日本はセキュリティに対する知識のレベルが低くサイバー攻撃に対応できる人材資源が十分ではありません。非常に優れているセキュリティ人材資源を確保するためには、セキュリティ専門の理論をもとにして、体系的な知識を学べる機関を設置するなどの模倣によらず単独で編み出した着想が必要です。経営者自らが持つ知識のよりよい方向性・企業が従業者に対して行う十分な教育・多層防御を実施して、今から以後の時代にふさわしいサイバー攻撃対策が必要です。

 

サイバー攻撃対策ツールの選定するうえで抑えておくべき大事な点

ここからはサイバー攻撃対策ツールの選定するうえで抑えておくべき大事な点について解説していきます。

 

多種多様な攻撃の状況に合わせて処置できるか

DDoS攻撃や標的型メール攻撃、ゼロデイ攻撃、Webサイト改ざんなどといった、さまざまな攻撃に対応できるかを確認してください。サイバー攻撃は多様化し手口も巧妙化しているため、１つの攻撃しか防げないツールでは不十分な場合がありますので、導入する際はできるだけ複数の機能を搭載したツールを選び定めることが大切です。

 

多くの中からサポート体制が目的や基準にかなうものを選ぶ

サイバー攻撃対策ツールを選定する際は、いくら高機能な対策ツールを導き入れたとしても機能が十分発揮できるようにうまく使えないと意味がありません。そのような事態にならないためにも、セキュリティ関連ツールを提供する事業者のサポートは不可欠ですので、サポート体制が充実していることをしっかりと確認しておきます。

 

情報システムの運用や個人情報の管理に支障を来すような事態に陥りかねない状況発生時に備えて、対応時間・対応内容・コンタクト方法を事前にチェックしておくことが必要です。また、攻撃の事実の発見や詳細に検討し分析することは専門的な知識・スキルが必要であるため、サポートセンターに専門スタッフが常駐しているセキュリティ関連ツールを提供する事業者を選定することが大切です。

 

コストパフォーマンスで選ぶ

多くのサイバー攻撃対策ツールの中から、目的・条件などに合うものを選び定める際は費用対性能比率も重要です。ツールには大きな価格差がありますが、色々な機能が備わっていて高い性能が付加されていたとしても、低価格で提供されている製品もあるために価格と機能の両面について確信を持って決定することが必要です。また、企業規模によっては巨額の費用が発生する場合もありますので、導入・運用コストを踏まえて企業規模に応じた適切なツール選定が大切です。

 

サイバー攻撃対策において押さえておくべき事柄

サイバー攻撃対策ツール導入後に押さえておくべき事柄について、理解や把握が容易にできるように説明します。

 

どんな時でも『最新の対策』

サイバー攻撃による損害や危害を受けないためには、どんな時でも最新の対策をするという意志と意向を持つことが大切です。サイバー攻撃は日ごとに進化しており、最新のセキュリティ対策なしでは、資産として価値のある情報が毀損しないよう継続的に危険を塞ぐことはできませんので、現在ある対策ツールに加えて悪い事態が起こらないように前もって防ぐことが特に大切なことです。

 

主な予防対策としては『不審メールの添付ファイルを開かない』『業務に関係ないサイトへアクセスしない』『アプリケーションのインストールは公式サイトで行う』を挙げられます。さらにシステムへの不正な行為が行われる際に、利用される可能性があるシステムの欠陥や問題点が攻撃の対象にならないように、アプリケーションをどんな時でも最新の状態にすることによって高度化するサイバー攻撃の被害を可能な限り最も小さく抑えられます。

 

従業員のセキュリティ意識向上も重要

サイバー攻撃対策には社員のセキュリティ意識の向上も不可欠です。システムの対策をいくら強化しても、社員の意識がしっかりしていないと情報漏洩のリスクを軽減することはできません。そのため、セキュリティ教育を継続的に行う必要があり、eラーニングや社内研修などの教育が有効です。

 

これらを継続的に行うことによって、社員のセキュリティ意識向上につながるため、情報漏洩リスクの軽減を図れます。さらに新入社員研修時にもセキュリティ教育を実施することによって、情報源からの情報を管理して関係先に配布することを、入社時に広く定着させられるためにセキュリティ意識の向上につながります。

 

サイバー攻撃対策を実施することで安全性を高める

サイバー攻撃対策ツールを導入する際は、多種多様な攻撃に対応できる製品を目的や条件に合っているものを選びます。そのほかに必要なサポート体制が十分に備わっていて、コスト以上の好ましい効果を実現できるツールを十分検討したうえで確かめることが大切です。

 

ツールの導入後は高度なサイバー攻撃に対応するために最新の対策を図るようにして、システムのセキュリティ対策だけでなく従業員のセキュリティ意識の向上も大切です。以上のことをあらかじめ考慮に入れたサイバー攻撃の対策によって、システムのリスクが許容可能な水準に抑えられている状態を高めることが重要です。

 

1石５鳥のWebセキュリティ対策：インテリジェント型WAF「WAPPLES」

 

機密情報を徹底管理、データ暗号化ソリューション「D'Amo」