実は追加コストをかけずにできる対策
その重点的対策は、実施が比較的容易であり、かつ費用負担が少ない。主なものは、VPNの脆弱性管理の徹底および多要素認証の導入が考えられる。
脆弱性管理の徹底は、自社で使用しているVPN機器のバージョンを把握し、脆弱性が公表されているか、脆弱性が公表されている場合はアップデート等の対応をしているかを確認し、速やかに対応することが有効だ。多要素認証の導入は、ID・パスワードの認証に加えてスマートフォンに届く数字等もう一つの認証を加える方法である。多くのVPN機器には多要素認証の機能が最初から実装されており、それを「ON」に設定することで有効化できる。
前者はVPN機器から認証情報を窃取されないための対策、後者は仮に認証情報が窃取されたとしても不正アクセスをされないための対策と整理できる。
これらの対策は、新たなセキュリティ製品の導入を伴うものではないため、基本的に追加コストは掛からず、すぐにでも導入や実施ができる。上記の警察庁公表資料のデータを踏まえると、これらの対策を実施することでランサムウェア攻撃のサイバーリスクを62%減らせるといっても過言ではないであろう。
これが冒頭に記載した「サイバー攻撃の傾向を踏まえた重点的対策」というアプローチである。
もちろん、サイバーリスクはランサムウェア攻撃だけに限られないし、ランサムウェア攻撃の残る38%はVPN以外からの攻撃である。しかも、攻撃傾向は今後変化することは十分に想定される。そのため、VPN対策をすればサイバーセキュリティとして十分であると言うつもりはない。
ここで申し上げたいのは、サイバー攻撃には明確な攻撃傾向があるということと、攻撃傾向がわかっているのに同様の被害が後を絶たないという現状に対する現実的な解決策の提案だ。発生頻度が高いサイバー攻撃の傾向を踏まえたアプローチは初めて対策を実施する企業のスモールスタートにもなり得るし、効果的な結果を生み出すことにもなる。セキュリティ対策の一つの視点としてもっと検討されるべきではないだろうか。
