世界規模の情報セキュリティの脅威の増加は依然として、死や税金と同じくらい確実に発生するものである。少なくとも、PwCによる最新の情報セキュリティ調査によればそうだ。10月に発行された同報告書は、いくつかの厄介な傾向を浮き彫りにしており、企業のITセキュリティに携わる人々に価値ある情報を提供している。とはいえ、提供された情報を適切なベストプラクティスへと変えることは、多くのITセキュリティ担当者にとっては残された課題となる。特に、サイバー犯罪との戦いで、自分の組織が最新の犠牲者とならないようにする任務を負うことになる人々にとっては。
PwCは、サイバーセキュリティが持続的なビジネスリスクになっていること、そして脅威(経済に対する脅威と、知的財産に対する脅威の両方)が増加していることを、正しく指摘している。この報告書では、以下のような、非常に厄介な事件が明らかになっている。
- 世界の証券取引所の過半数(53%)が、サイバー攻撃を受けたことがある(証券監督者国際機構:IOSCO調査)。
- 韓国では、約1億500万件のクレジットカード情報がセキュリティ侵害にさらされた(Symantec)。
- ドイツのフェルデン市は、1800万件の電子メールアドレスやパスワードなどの情報が盗まれたと発表した(TechWeek Europe)。
- コンピュータハッカーたちは、世界各国のATMで、中東の銀行2行の口座から4500万ドル超を不正に引き出した(米CNET)。
上記で触れたセキュリティ侵害は、2014年に発生したセキュリティ関連事件の一部に過ぎないものの、こうした事件はある傾向を明らかにしている。つまり、攻撃者にとっては金銭上の利益が重要な動機であること、そしてセキュリティの非常に高い組織でさえ、まだ脅威には弱いことだ。この2つを意識することは、IT資産をサイバー犯罪から守ろうとする人々にとって、状況を大きく変えるものになるはずだ。
被害者に落ち度はあるのか
サイバー犯罪の場合、被害者の危機感のなさに責任がある場合もある。それは攻撃者が犯罪をはたらくことの口実にはならないものの、組織が自らの資産を先回りして保護する必要性があることを明らかにしている。そもそも、法律が関係してくるのは、犯罪が行われてからだ。つまり、数多くのサイバー犯罪対策法が存在するが、そうした法はその気になったサイバー犯罪者にはほとんど効果がないということだ。
別の言い方をすれば、組織は、攻撃は避けがたいものであり、珍しいものではないと考えた上で、防御態勢を取り、攻撃に備えるべきである。そうした価値体系は、2015年に予想されるセキュリティ攻撃の襲来から身を守るために必要なパラダイムシフトの重要な要素になるだろう。