加えて、82%の企業が身代金の支払いから1年以内に再び攻撃を受けているという事実もある。判断にはこうしたデータを踏まえることが重要であり、日本企業が今後も身代金支払率の低さを維持することは、結果として金銭目的の攻撃を受けにくくなることにもつながる。
情報人材に乏しい日本
国難にどう立ち向かうか
決して、「脅し」に屈する必要はない。ただそのためには、可能な限り脆弱性を排除し、従業員一人ひとりのセキュリティー意識を醸成することによって防御力を高め、復旧手順の定期的な訓練などによってデータ・システムを早期復旧できる環境と体制を整えることが重要となる。
こうした体制を築くには、高度な知識と実践的な判断力を備えた人材の存在が欠かせない。技術的な防御策や復旧プロセスを整えても、それを設計し運用する専門人材がいなければ、実効性は伴わないからだ。しかし、図で示す通り、日本では情報セキュリティーを統括する人材(CISO)が枯渇している。
サイバーセキュリティー上、詐欺メールなど「人」の脆弱性を突く攻撃を防ぐための対策はもちろんのこと、「システム」の脆弱性を排除することが極めて重要になるが、セキュリティーに精通した人材が役員の中にいなければ、企業としての判断を誤る危険性が高まる。
安全よりも業務効率性を優先することがその典型例だろう。
例えばスマホのアップデートに再起動が伴うように、業務システムを最新の状態に保つためにはどうしてもシステムやサービスが停止し利用できない「ダウンタイム」が発生する。これを忌避する動きが現場では強く働きがちである。
また、システム構築の時点でも、一つのネットワークの中に様々なシステムやサーバーを集中させるのではなく、セグメンテーション化を徹底することが有効な対策となる。しかし、データのやり取りが煩雑になり、業務効率との兼ね合いから見送られるケースも少なくない。
だが、昨今の情勢を踏まえれば、受発注や生産、在庫管理、配送販売などの機能をそれぞれマイクロサービス化し、別の空間に置くような環境を整えることが望ましいだろう。
こうした〝守備力〟を向上させるための経営判断や設備投資が日本企業には求められている。
国家においては今年5月、能動的サイバー防御を導入する法案を参院本会議で可決・成立させたものの、同法で定義されている実動部隊に情報を上げるための組織が存在していない。つまり、諜報能力が欠けたまま制度だけが先走っている状態にある。国家情報局の創設など、高市早苗内閣のもとでいかに実効性を高められるかが今後の鍵となろう。
また、27年度までに防衛省・自衛隊全体のサイバー専門部隊を約4000人に拡充するという計画も、その枠組みの中だけでサイバー人材を抱え込むという発想のままでいてはならない。
例えば米国では、退役した軍人が民間企業へと身を移し、サイバーセキュリティーの向上に資するようなキャリアパスが柔軟に構築されている。日本においても、人材を育てるのであれば、国内にセキュリティー人材を多く輩出できるような出口戦略を同時に練ることが不可欠だ。
世界で最も狙われる国となった日本。この危機を自覚した上で、守備力向上のための体制構築と人材育成が急務である。(聞き手・構成/編集部 仲上龍馬)
