日本企業のセキュリティ対策が高度化しない理由
登坂:そもそもセキュリティ対策は強制力がないと進みにくいという側面があります。そのため、現在世界レベルで規制を強化する動きが出ています。例えば、EUでは、GDPR(一般データ保護規則)が施行され、個人情報・個人データの処理と移転に関して厳格に規制されています。企業には報告義務があり、違反時には高額の制裁金が課されます。また、米国にも、重要インフラ事業者や政府調達に参加する企業に対して厳しいデータ保護ルールが設けられています。
日本にも個人情報保護法がありますが、欧米のプライバシー法ほど規制が厳しくなく、企業には情報漏洩の報告義務もなく、また罰則規定は設けられていますが諸外国と比べ罰則は軽いです。そのため、日本の企業には、セキュリティ・インシデントが起きて被害が発生しないと対応しないという体質が強く、プロアクティブな対策が取れていないのだと思います。2020年には個人情報保護法の見直しが予定されており、報告の義務化や削除権の追加などが検討されていますが、強制力という点でどれだけ効力があるかはまだわかりません。
黒田:確かに日本企業には、セキュリティ・インシデントが起きないと対応しないという体質がありますね。実際に、幸か不幸か大きなセキュリティ・インシデントが発生するとイーセットの製品も売上が伸びる傾向にあります。ただ、企業の担当者にしてみれば、セキュリティ対策は大きな投資が必要になるため、何か大きな問題でも起きなければ、なかなか投資の名分が立たないという事情もあるようです。
どのようにすればこうした状況を打開して、企業がプロアクティブな対策をとれるようになるのか。われわれ自身がセキュリティベンダーとして、セキュリティリスクについてお客様にきちんと伝えていくことも重要だと考えています。5年前、10年前に比べると、マルウェアはより巧妙化し、攻撃頻度も高まるなど、セキュリティリスクははるかに増大しています。前述した最近実施した調査の結果、日本はサイバーセキュリティについての啓発プログラムを組織的に行う取り組みも他国と比べて遅れているという結果も出ており、私どもは、セキュリティ対策活動や様々な研究活動によって獲得したセキュリティリスクにかかわる情報を提供することによって、お客様のプロアクティブな対策を支援していきます。
重要性が高まるエンドポイントセキュリティ
登坂:黒田さんの指摘のとおり、サイバー攻撃は明らかに高度化しています。そして、攻撃のターゲットはエンドポイントのクライアントPCへと向かっています。IDC Japanが2019年4月に実施した調査では、攻撃の被害に遭遇した資産はクライアントPCが最も多く、54.2%に上っています。一方、セキュリティシステムが被害を検知できた割合は59.3%にとどまっており、既存の対策だけでは十分ではないことがわかります。
※クリックすると拡大画像が見られます
※クリックすると拡大画像が見られます
黒田:最近では、セキュリティ対策の中でも、特にエンドポイントのセキュリティに注目が集まっています。ネットワークやサーバのセキュリティの場合は、専門家が対策を行ってくれるうえ、監視も評価も比較的容易に行えます。しかし、PCの場合は、一般のユーザーがWebにアクセスして情報を取得したり、社外に持ち出して営業に使用したり、人に依存する度合いが高くなるため、ツールの導入だけでなく、きちんとした利用ルールを定め、全員に厳守させなければなりません。そのため、単純な防御だけでは十分でなく、侵入されたとしても対処できるような体制を整える必要があるでしょう。
登坂:セキュリティ対策に関しては、日本企業の多くはこれまで、外からの攻撃を防御することばかりに目を奪われ、侵入さてしまった後の対策についてはあまり考慮してきませんでした。しかし、サイバー攻撃が高度化し、エンドポイントが主なターゲットになってくると、セキュリティ侵害の発生を前提にして、たとえ侵害が発生してもそれを早期に検知し、自動的に対応・復旧させるリスクアプローチ型のシステムの構築が不可欠です。イーセットでもこうしたシステムの構築を支援する製品を提供されていますね。
黒田:イーセットの製品は、エンドポイントセキュリティソフト市場の国内シェアで4位の実績を持ち、高い検知率と誤検知の低さに加え、軽快な動作と低価格という特徴によって、お客様から高い評価を得ています。前述した、セキュリティ侵害の発生を前提に、侵害されたとしても早期に異常を検知して対処できる基盤を提供する一環として、新たに2つの製品を2019年5月から販売開始しました。
1つは、クラウドサンドボックスによってマルウェアを高精度で検出する「ESET Dynamic Threat Defense」で、もう1つが、組織で使用される端末上での怪しい動きを分析し、組織内に潜伏する脅威の有無を可視化するEDRソフトウェア「ESET Enterprise Inspector」です。
イーセットのエンドポイントセキュリティソフトと今年発売した上記2製品を組み合わせていただくことによって、使いやすさ、対応スピード、コストの点で妥協することなく、最高レベルの総合エンドポイントセキュリティを実現できると確信しています。
登坂:DXを推進するうえでも、多くの企業にプロアクティブなセキュリティ対策を実現させてほしいものですね。
黒田:本日はありがとうございました。
