反面教師にしたい感情的なセキュリティ対策
現在メディアや有識者が声高に訴えているセキュリティ人材の不足は、紛れも無い事実である。既に現在のサイバー攻撃は、セキュリティ人材なくしては対策できなくなっている。それでも、コストの議論をしないで盲目的に突き進むことは、非常に危険だ。もちろんほとんどの企業では、セキュリティ対策のために会社が傾くということはまず無い。しかし、情報漏えいなどが社会問題化してしまい、メディアなどに大きく取り上げられた場合などは、感情的な世論によって必要以上のコストがかかってしまうということも、しばし発生するというも事実だ。
また事件が起きたのが公共機関だった場合も、セキュリティ対策の必要性が議論されるというより、メディアがどの程度騒ぐかで、その後のセキュリティ対策の規模に直結する傾向が強い。しかし、そのセキュリティ対策費用の源泉は皆さんが納めた税金であり、結局そのコストを負担するのは国民なのだから、できもしない“100%の対策”を求めて必要以上にコストを掛けることは愚の骨頂だ。
しかも、それらの感情論を根拠にするセキュリティ対策は、本質的なものではなくアピールできるものが優先されることも多い。結果として、現場に無用の負担をかけ、結局そのルールを守れない、本末転倒のものになりやすくなる。このような感情的なセキュリティ対策の例は、ぜひとも反面教師とすべきである。
セキュリティ人材が必要になった理由
セキュリティ対策で、なぜセキュリティ人材が必要になったかについて述べたい。その昔、ファイアウォールやアンチウイルスソフトなどに代表されるセキュリティ対策製品を導入することこそがセキュリティ対策だった。それらの製品は高い壁や厚い扉のようなもので、それらが設置されていれば、一定レベルの効果が得られる。その当時のセキュリティ対策とはそういうものであり、それでよかった。しかし、それは今から10年以上前の話だ。現在のサイバー攻撃とセキュリティ対策の環境は大きく異なる。
インターネット黎明期の1990年代などには既にコンピュータウイルスなどは存在し、アンチウイルスソフトなどもすでにあった。セキュリティ対策の必要性なども、それなりに認知されていたが、攻撃者のほとんどは興味本位の愉快犯であり、世の中に脅威を与えるほどのものでもなかった。だが、時代は変わった。現在ではサイバー攻撃が効率的に収益を挙げるための世界的なビジネスになっている。
ビジネスであるからには、さらなる効率を求めて分業もなされる。攻撃のターゲットや脆弱性を見つける役、マルウェアを作成する役、ターゲットに対して巧妙に不正侵入する役、その他にも専門的な役割が多数存在するはずだ。それでもリソースが足りない時は、「ダークウェブ」などと呼ばれる闇市場から必要な情報や攻撃のためのツールなども入手できる。もちろん、購入するだけでなく攻撃者の手元にある情報やツール類を売ることもできる。このダークウェブがサイバー攻撃をする者たちのエコシステムの役割を担っているであろうことは想像に難くない。
効率的なビジネスを実行するための攻撃者の組織
これらのことは、もちろん推測の域を出ない部分もあるが、サイバー攻撃をビジネスとして考えれば、先述のようなスキームが機能していることは当然だろう。もしかしたら、持株会社やM&Aによる組織強化策のようなものも進んでいて、一般社会の“表の経済”をしのぐような進んだビジネススキームを持っているかもしれない。既にサイバー攻撃は、より高い収益を求めた組織によるビジネスになっており、攻撃力も以前とは比べ物にならないほどに強化されているのだ。
こうした背景から、従来の高い壁や厚い扉のようなセキュリティ対策製品だけでは防御し切れなくなったのが、現在のサイバー攻撃だ。そのためセキュリティ製品は、かつての壁のような防御装置で弾き返すのではなく、あの手この手で巧妙に侵入してくる攻撃者の動向を検知するようになった。そして、それらの機器やソフトウェアの検知アラートに都度対応できるセキュリティ人材が必要となった。これが、政府が2020年に19万3000人も不足すると発表したセキュリティ人材不足の理由である。
