データを保護あるいは事業を継続するため、サイバーセキュリティの重要性が官公庁だけでなく、民間企業にも高まっている。その対策は多方面かつ重層的に講じることが必要なのだが、多くの企業、特に中小企業においては、セキュリティに充てるべき人的・金銭的リソースに限りがあり、全てのリスクをカバーできないのが現実だ。
(metamorworks/gettyimages)
効果的かつ現実的なセキュリティ対策を検討しなければならないものの、多くの企業担当者がサイバーセキュリティの危機に直面したことがないため、いかなる対策が適切であるか見いだせずにいる。実際に、企業のサイバーセキュリティ体制構築支援を専門とする筆者の実務経験上、「サイバー攻撃の傾向を踏まえた重点的対策」というアプローチはそれほど取られていない印象である。
サイバー攻撃の傾向を踏まえた対策とは何か。昨今の被害動向から検討してみたい。
全ての事業者が念頭に置くべき攻撃の種類
筆者は、サイバー攻撃には攻撃者の目的に応じて2種類に分けることができると考えている。特定のデータの窃取や特定の施設・サービスの破壊を狙うことを目的としたいわゆる標的型攻撃と経済的利益の獲得を目的とした攻撃である。
攻撃対象の観点から整理すると、前者は目的を達成するために攻撃対象を限定するのに対して、後者はそこから得た情報の売買や身代金といった経済的利益を獲得できれば攻撃対象にこだわりはない。攻撃の仕方の特徴に関していえば、前者はある程度のコスト負担は覚悟しているので攻撃が高度化する傾向にあるのに対して、後者は攻撃手法が使い回される傾向にある。
政府組織、重要インフラを担う企業は前者の攻撃対象となることが多い。一方で、後者の攻撃対象は民間企業を広く対象とする傾向にある。多くの企業のセキュリティ担当者は後者の攻撃への対策を講じる必要があると言える。
デジタル社会における経営や安全保障の脅威についてレポートしている連載「デジタル時代の経営・安全保障学」の記事はこちら
