かつてはウイルスと不正侵入だけに注意していればいいという時代ではなくなり、スパイウェアやボットなどの新しい脅威が登場したことで、セキュリティ対策も新しい動きを見せている。

　そんな中で企業のセキュリティ対策をどう見ているのか、セキュリティとはどうあるべきかを、トレンドマイクロで戦略企画室室長を務める小屋晋吾氏に話を聞いた。

--この2〜3年でユーザー企業のセキュリティへの意識は変わっているのでしょうか。変わっているとすれば、どのように変わってきているのでしょうか。

　セキュリティに取り組む人がいるかどうかで異なりますね。一概には言えませんが、従業員2500人を超える企業ではセキュリティ担当者がいるように感じます。兼務でもセキュリティ担当者がいる企業では、セキュリティに対して前向きだと感じています。

　対してそれほど大きくない企業では、大手企業と同様にセキュリティ対策に前向きな企業とそうではない企業という二極化が進んでいるように感じます。前向きではない企業から「ウイルス対策は必要なの？」という意見を聞くこともあります。

--セキュリティは必要だと考えている企業でも、どこまでコストをかけるべきか分からないという声があるかと思います。それについてはどのように考えているのでしょうか。

　言われるようにセキュリティ対策に前向きな企業でも、その課題にぶつかっています。ウイルス対策は講じているが、従業員に対する内部教育もすべきなのかなど、セキュリティ対策をどこまで高じるべきなのか、悩んでおられるようです。セキュリティ対策を費用対効果で考えると、どこが適度な対策になるか分からないということも理由になっているでしょう。加えて、セキュリティ技術の進歩が速すぎるために、どの技術を採用すべきなのかが悩ましいという意見も聞こえてきます。

　確かにセキュリティを費用対効果の点から考えるのは悪くないと思います。

　ただ、実際の現実世界で言えば、家を建てるとして玄関や窓の鍵を付けるとすれば、常識的に「これぐらいあればいい」という感覚があるかと思います。ITのセキュリティは、そういったものがないんですね。つまり、セキュリティについて「ある程度対策していればいい」といった時の“ある程度”がどの程度なのかが社会の常識として決まっていないという状況にあります。これについては、今後2〜3年で醸成されていくのではないか、と考えています。

　その時に、企業がどれくらいITに依存しているかでセキュリティ対策の基準は変わってくるでしょう。たとえば、ウェブでビジネスを展開している企業であれば、ウェブが止まったらビジネスそのものが止まることになってしまう。そういう企業の場合、外部との連絡手段としてネットを使っている企業とは、セキュリティ対策のレベルや質は異なりますよね。ですから、「こういう企業だったら、こういう対策が必要」というのが数年以内にできあがっていくのでは、と思っています。今は、それがなくてどの企業も苦労している時期だと見ています。

--これからの脅威で一番怖いのはボットではないかと考えられます。ボットについては、どのように見ているのでしょうか。

　ボットは現在確実に増えていて、しかも亜種がどんどん登場しています。さらにボットのネットワークは世界に広がっているのに、ボットが攻撃する対象は特定の企業や団体などピンポイントであるために、ボットの収集が難しい。そのために、パターンマッチングでの対応には限界があるとも言えます。

　ボットの種類は約3万とも言われていますが、しかし、ボットの攻撃手法はたいがい脆弱性を狙ったものであり、ボットの攻撃手法は3万もないのです。つまり、ボットの攻撃に対する防御の手だてはしっかりとしていると言えます。