サイバーセキュリティ未来考

経営層に示された「サイバーセキュリティ経営ガイドライン」の真意 - (page 2)

吉澤亨史

2017-04-18 07:00

なぜ、ガイドラインは策定されたのか?

 サイバーセキュリティ経営ガイドラインが策定された背景には、ビジネスとITが密接な関係となり、サイバー攻撃がもたらす被害が深刻化していること、そして、現状のセキュリティ対策の仕組みがある。


 現在のビジネスでは、業務のほとんどがIT化されている。これにより、企業や組織に対する犯罪は物理的な手法からサイバーな手法に変化した。例えば、ネットショッピングサイトでは、大量の接続処理の要求を送り付けられるような分散型サービス妨害(Distributed Denial of Service:DDoS)攻撃によって、ウェブサイトが正常に機能できず、商品の販売を妨害されてしまう。企業・組織のウェブサイトではセキュリティ上の不備(脆弱性)を突いた不正アクセスによって、その先のシステムに格納された顧客情報などのデータを盗み出される被害が主流となっている。

 さらに「標的型サイバー攻撃」では、攻撃者が限られた企業や組織を標的にして、まず綿密な情報収集を事前に行う。その上で実在する上司や同僚、知人になりすまし、メールなどを使って巧妙に偽装したマルウェアに感染させる。そして、標的にした相手に気付かれないようマルウェアを遠隔操作しながら、組織のネットワークやシステムの内部に潜入し、重要な情報を盗み出す。こうした高度な攻撃の背後には、国家組織が絡んでいることもある。現在の攻撃者は、潤沢な資金と高度な知識・テクニックを持つ「犯罪集団」に進化している。

 最近では、ランサムウェアによる被害も増加している。マルウェアの一種であるランサムウェアは、感染したPCやサーバの内部に保存されているデータ、あるいはシステム全体を暗号化し、使えなくした上で金銭を要求する。いわばデータやシステムを人質に、身代金を要求するわけだ。企業や組織が被害に遭えば、業務が停止してしまうこともあり、身代金を支払ってしまうケースがある。しかし、身代金を支払うことでデータが元通りになるとは限らず、逆に「身代金を支払う企業」のリストに加えられ、さらなる犯罪者の標的になりかねない。

 こうしたサイバー攻撃の巧妙化や複雑化に、セキュリティ対策製品を開発・提供するベンダーはいち早く対応してきた。しかし実際には、製品などを利用する企業や組織の対策が追いついていない。特に日本の企業や組織では、ITシステムを3年ごと、5年ごとといった長いスパンで更新するケースが多く、その間のサイバー攻撃の急激な変化に対応できないという課題がある。

 また利用者の立場にある企業や組織にとって、セキュリティ対策製品は高価なものが多い反面、事業に直結して利益を生み出す存在ではないため、予算が割かれにくいという事情もある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]