トレンドマイクロの調査によれば、DX推進担当者のうち35.2%がサイバーセキュリティインシデントを経験し、9割以上がDX推進におけるサイバーセキュリティ対策に懸念があるという。さらに、自社にサイバーセキュリティを踏まえてDX推進ができる人材がいると回答したのは14.3%となった。DXに乗り出したばかりの企業に潜むリスクとは? そして、社内のセキュリティ体制を強化する方法とは? かつて某大手銀行グループでインシデント対応に従事し、現在はサイバーセキュリティの人材育成に取り組む宮内雄太さんに聞いた。(聞き手/ノンフィクションライター 酒井真弓)
攻撃者は、企業サイトの
どこを見ているのか
サイバーセキュリティは、企業ITの中でも特に複雑で敬遠されがちだ。しかし、報道されるさまざまな事案が示す通り、セキュリティ事故がビジネスに及ぼす影響は時に甚大だ。金銭的な被害や企業ブランドの毀損にとどまらず、業務停止、顧客離れ、さらに人材の流出など事業継続を脅かすケースもある。
誰がサイバー攻撃を仕掛けているのか。歴史をひも解くと、古くは技術に興味のある人間が道を外れ、愉快犯的に行う傾向があった。しかし、近年では、金銭や情報の窃取を目的とした攻撃が主流となり、収益性を追求するビジネスとして組織化するケースも見られる。できれば一生関わりたくないという人がほとんどだろう。DX推進者となればなおさらだ。
酒井 攻撃者は企業のどんなところを見てターゲットを絞るのでしょうか?
宮内 よく言われるのは、OSINT(オシント:Open Source Intelligence)、つまり公開されている情報や合法的に得られる資料など収集し、突き合わせることで、諜報活動やサイバー攻撃に利用するというものです。
例えば、コーポレートサイトを見れば、事業所の場所、役員や一部の従業員が分かりますし、エンジニアの求人情報を見れば、どんな製品・技術を使っているのか、さらにおおよその給与額や勤務体系といった情報も知ることができます。あくまでも推測ですが、これらの情報は、スパイの送り込み、退職者や不満を持つ従業員へのアプローチなどに活用できるのではないでしょうか。