多くの企業は、セキュリティを余分なコストだと考えており、今もサイバーセキュリティにお金をかけることに消極的だ。しかしそうした企業は、サイバーインシデントの被害を受けてから、はるかに多くの費用を復旧に費やさざるを得なくなっている。
ランサムウェアやビジネスメール詐欺(BEC)、データ漏えいなどのサイバー攻撃は、今日の企業にとって重要な課題になっている。ところが、大規模なインシデントが多数発生しており、その被害額が巨額に上ることがよく知られているにも関わらず、多くの企業の経営陣は、依然としてサイバーセキュリティ対策への投資に予算を割くことに消極的だ。
一旦ランサムウェア攻撃などの大規模なサイバーインシデントの被害に遭ってしまえば、インシデントを防止するために従業員や技術的な対策に投じる費用よりも、はるかに多額のコストがかかる可能性が高い。しかし多くの企業は、手遅れになってからしかそのことに気づかない。
サイバーセキュリティ企業Veracodeの共同創業者で最高技術責任者(CTO)であるChris Wysopal氏は、米ZDNetに対し、「企業は予防的なことに経費を使いたがらない。彼らは資金の使いすぎを嫌う傾向が強く、そのことで多くの企業が『安物買いの銭失い』のような状況に陥り、みすみす問題が起きるのを待って、それから多額の経費をかけて後始末をする羽目になっている」と話した。
Wysopal氏によれば、その状況になって初めて、もし攻撃を防いでいればもっと費用が少なくて済んだと気づくのだという。「今、多くの企業がそれを経験している」と同氏は言う。
例えば、1度インシデントが起きてしまえば、暗号化されてしまったネットワークの復号鍵を手に入れるためにランサムウェア攻撃グループに数万ドルを支払い、その上、調査や、対応作業や、企業全体のITインフラの復旧に必要な費用も支払うことになるかもしれない。
「サイバー保険に加入していない場合に支払う身代金の金額だけでも、多くのサイバーセキュリティ専門家を雇うことができる。サイバー保険の保険料も上昇しているため、脅威への対応にかかる経費は全体的に増加している」とWysopal氏は話す。
本格的なサイバーセキュリティ戦略を用意している企業でさえ、スタッフのトレーニングと雇用と維持が大きな課題になる場合がある。これは、必要なスキルを持った従業員に対する需要が高いためだ。
需要と供給の問題は一朝一夕には解決できない。Wysopol氏は、サイバーセキュリティに対する長期的な投資が必要不可欠だが、サイバーセキュリティのスキルを持った人材を増やし、企業を攻撃から守るためにできることは他にもあると考えている。
「私は、ITや計算機科学の分野の全学生の教育にサイバーセキュリティを取り込み、専門がIT環境のシステムの構築や管理であろうが、ソフトウェアの開発であろうが、プロフェッショナルとしてサイバーセキュリティに関する一定の知識を持てるようにすべきだと考えている」と同氏は言う。
IT部門のスタッフや開発スタッフがサイバーセキュリティをある程度理解していれば、特に大きな予算を割けない場合が多い小規模な企業は助かるだろう。
Wysopal氏は、「私はこれをカリキュラムの一部にするための取り組みを行っており、いくつかの大学と協力して、これを計算機科学のカリキュラムの一部にしようとしている」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。