なぜサイバー攻撃を防げないかという愚問
従来、サイバー攻撃から自組織の情報資産を保護するために、いかに攻撃を防ぐかに腐心して対策を施してきた。標的型攻撃に対しても然りである。そこで、とにかく攻撃の侵入経路を塞ぐために、外部ネットワークと組織内インフラの境界を強固にすることを主眼としたファイアウォールなどが実装されてきた。さらには、その境界を突破される場合を想定し、サーバや各端末がマルウェア感染しないようにウィルス対策ソフトが導入された。
しかし、攻撃者も防御策が施されていることは承知した上で、その防御策が無効となるような攻撃を仕掛けてくることは想像に難くない。例えば、ウィルス対策ソフトは定義ファイルとのマッチングによりマルウェアを検知するが、標的組織ごとにカスタマイズされたマルウェアだとそのパターンマッチングで検知することができず感染してしまう恐れがある。攻撃者は事前にウィルス対策ソフトに検知されるかを試したうえで、マルウェアを送り込んでくるのだ。
これまで企業は防御に偏重した対策をとってきた。防御策を実装することで、自社のサイバーセキュリティ対策を過信し、それ以外の対策を軽視してきたのではないだろうか。しかし、攻撃者は常に先回りして仕掛けてくるので、防御だけでは守りきることができないことは明白だ。
それでは、防御策は不要なのだろうか。防御策がなければ、いとも簡単に攻撃者に情報資産を窃取されることになる。攻撃者も投資対効果を判断しながら攻撃を仕掛けてくるので、防御策を高めておくことはこれまで同様に重要だ。組織は劣勢に立たされた状況で、攻撃者に対抗しなければならないことに留意する必要がある。
