セキュリティ対策のトレンド

 2017.09.05 Secure Enterpriseポータル

皆さんの企業では、「適切なセキュリティ対策が取れ、情報漏えいの心配はない」と胸を張って言えるほど、セキュリティ対策に取り組んでいるでしょうか?「言える」という企業は、多様なサイバー攻撃から情報を守るために、総合セキュリティ対策を取れていると、果たして言えるでしょうか?

実は、十分なセキュリティ対策を講じていると自負している企業の中にも、実際は不十分で、いつ情報漏えいが起きてもおかしくない、という環境も少なくありません。その原因の多くが、サイバー攻撃やセキュリティシステムに対する誤解によって生じます。

今回紹介するセキュリティ対策トレンドは、そんな、「十分なセキュリティ対策を取れていると思うけど、実際のところはどうだろう?」という企業の、経営者やセキュリティ担当者に触れていただきたいと思います。

セキュリティ市場成長は堅調、つまりサイバー攻撃は深刻化

サイバー攻撃に対するセキュリティ対策では、セキュリティシステムを導入することが前提となります。そんなセキュリティシステム市場は毎年堅調に伸びており、2016年は前年比5.1%増で、市場規模は2,839億円となっています。一方、セキュリティサービス市場に関しても、前年比5.1%増の、7,190億円で着地しています。

引用:IDC Japan「国内セキュリティ市場規模予測を発表

セキュリティ市場全体で見ると1兆29億円と、一大市場に成長しています。しかしこれは暗に、サイバー攻撃が深刻化し、多くの被害が発生しているためとも言えるでしょう。

2015年から2016年にかけては、標的型攻撃による情報漏えい事件が相次ぎ、メディアでもその深刻性が連日報道されました。2017年に入ってからも、標的型攻撃はもちろん、新種のサイバー攻撃による被害が相次いでいます。

セキュリティ市場が成長することは、企業のセキュリティ意識が高まっているということでもあります。そこには、サイバー攻撃が深刻化しているという背景があるのです。

 今最も危険視すべきサイバー攻撃とは?

2015年・2016年に最も脅威となってサイバー攻撃といえば「標的型攻撃」です。ターゲットにメールを送信し、言葉巧みにマルウェア感染ファイルを実行させることで、端末を感染させ、潜伏し、最終的には情報を搾取します。

では、2017年に最も脅威(になるであろう)なサイバー攻撃とは何でしょうか?すでにお気づきの方も多いでしょう。それは、「ランサムウェア」です。

ランサムウェアとは「Ransom(身代金)」とマルウェアと掛け合わせた造語で、「身代金型マルウェア」という意味があります。ランサムウェアに感染すると、端末の重要なファイルや操作がロック・暗号化され、それを人質に金銭を要求されます。この要求に応えなければ、暗号化が解除されることはなく、重要ファイルを失ったり、端末を初期化しなければならない事態に陥ります。

このランサムウェアは、間違いなく2017年において最も脅威となるであろうサイバー攻撃です。その理由は、2017年5月に大流行した、「WannaCry」が原因となっています。

WannaCryは「ワーム」というマルウェアの一種で、自動増幅し、かつ一気に感染が拡大(パンデミック)します。これにより、世界150ヵ国で30万件の被害が発生し、史上最悪のランサムウェアに認定されました。

日本においても日立製作所、川崎市上下水道局、JR東日本高崎支社など、600箇所2,000端末以上が感染し、まさに「Wanna Cry(泣きたくなる)」ような被害が発生しました。

WannaCryの被害が報道され出した当初は、拡散型のスパムメールによって被害が拡散したと判断され、「不審なメールを開かないように」と呼びかけが広まりました。しかし、後になってWannaCryの感染経路は「公開されているSMBポートの脆弱性を狙い、ネットワーク経由で侵入したもの」と断定されています。

参考:ITmedeia「「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表

このためいくら「不審なメール」に注意していてもマルウェア感染は阻止できず、こうした「誤診」も、WannaCryの被害が拡大する原因の一つであると考えられます。

2020年、セキュリティ人材不足は約20万人に

深刻化するサイバー攻撃情勢を背に、日本のセキュリティ人材は「慢性的に不足している」という問題を抱えています。

経済産業省によると、2016年時点のセキュリティ人材不足は13万2,060人。これが、東京オリンピックが開催される2020年には、19万3,010人に増加するといいます。

参考:経済産業省「IT人材の最新動向と将来推計に関する調査結果

サイバー攻撃は年々深刻化しているにもかかわらず、日本の情報セキュリティは、需要と供給のバランスが取れていません。こうしたセキュリティ人材不足の打撃を真っ先に受けるのは、中小企業です。

大企業や中堅企業では、コストをかけ、優秀なセキュリティ人材の確保や育成を進めています。そうなると、中小企業では優秀なセキュリティ人材の確保が難しく、さらに教育にも多大なコストがかかるため、おいそれとは実施できません。

このため、中小企業のセキュリティ体制が今以上に衰退していくのではないかと、各方面から不安の声が挙がっています。

中小企業こそ、堅牢なセキュリティ対策が必要

実は、今日のサイバー攻撃は大企業よりも、むしろ中小企業をターゲットにしたものが多くなっています。理由は、大企業や中堅企業よりもセキュリティ体制が甘く、かつサイバー攻撃の簡易化によって無差別攻撃が増えているためです。

さらに、中小企業を踏み台にし、取引先である大企業のネットワークへの侵入を試みるサイバー攻撃も増えているので、中小企業にこそ堅牢なセキュリティ対策が必要だと言えます。

セキュリティに避けるリソースがなく、予算取りが難しい中小企業におすすめなのが、クラウド型のセキュリティツールです。クラウド型セキュリティツールは、導入コストが低く、かつシステム運用もほとんどなく導入できるため、中小企業のセキュリティ対策として多業界から注目されています。

「クラウドでセキュリティ強化と運用負荷軽減の2つを実現する」ことも、現代のセキュリティト対策トレンドの一つです。

まとめ

情報セキュリティが軽視されていた数年前と違い、今は「情報セキュリティこそ優先課題」となった時代です。セキュリティ対策を強化することは、情報を守り、信頼を守り、ひいては企業の利益を守ることに繋がります。

「適切なセキュリティ対策が取れ、情報漏えいの心配はない」という企業も、今一度自社のセキュリティ対策について、見つめ直してください。岩石のごく小さな亀裂の間を伸びる芽のように、サイバー攻撃は、いつの間にか社内に侵入していることもあるのです。