最新ソリューションの導入だけではサイバー攻撃が防げない理由

 今や、セキュリティ対策を全くしていない企業はほとんどないだろう。それどころか、「数年前とは企業の認識が一変した」と足立代表取締役は話す。

「サイバーセキュリティに関する意識は格段に向上しています。数年前までは、以前から更新を継続しているウイルス対策ソフトやファイアウォールの利用が主体で、『わが社が被害に遭うはずがない』『利益につながらないセキュリティ対策には投資できない』といった反応が一般的でした。しかし今は、企業や組織の大小問わず、被害の多さに危機感を持ち、ITセキュリティの対策に力を注ぐ企業が増えてきました」(足立代表取締役)

サイバー脅威を深刻化させるセキュリティ担当者の「燃え尽き症候群」とはソフォス
足立達矢 代表取締役

 ウイルス対策ソフトを入れるのはもちろん、中小企業でもCSIRT(Computer Security Incident Response Team、シーサート)と呼ばれるセキュリティインシデント対応チームを設置するところが増えている。パソコンやサーバーなどのエンドポイントにおける不審な挙動を検知するEDR(Endpoint Detection and Response)といったソリューションを導入している企業も少なくないのだという。

 そこまでしているのに、被害に遭ってしまうのはなぜか。ソフォスでセールスエンジニアリング本部を統括する大木竜児本部長は「サイバー攻撃の巧妙化・高度化に防御が追い付いていない」と指摘する。

「とりわけハッキング技術は著しく進化しています。AIなどの最先端技術を駆使することで、脆弱性のある箇所を迅速に発見できるようになりました。そこへ自在に侵入し、一瞬で情報の窃取やシステムの暗号化ができる状態にしているのです。侵入の際も、その企業で使われているITツールを経由するなど、社員に成り済ましているので検知するのは非常に困難です」(大木本部長)

サイバー脅威を深刻化させるセキュリティ担当者の「燃え尽き症候群」とはソフォス
セールスエンジニアリング本部
大木竜児 本部長

 ここで疑問なのが、「EDRなどのセキュリティソリューションは、成り済ましのログインや不審なアクセスをいち早く検知できるのでは?」ということだ。これを率直に大木本部長にぶつけると、次のような答えが返ってきた。

「確かに、EDRを導入すればアラートが上がってきます。しかし、アラートの数が多過ぎるのです。社内にある多数のツールやシステムから、継続的かつ膨大な量が発せられますし、中には誤報も含まれます。個々のアラートが何を意味するのか、具体的にどんな対応をすべきか分からないというお悩みが非常に多いのが現実です」(大木本部長)

 サイバー攻撃の総量が増えている今、たとえCSIRTのようなセキュリティ対応チームを設置していても、決して十分とはいえないだろう。しかも、多額の身代金が期待できることから、サイバー犯罪はエコシステム化している。最先端の技術を常に取り入れている相手に対抗するのは簡単ではない。

急増する「燃え尽き症候群」で30%の社員が退職・転職の意向

 そうした状況によって、セキュリティチームや担当者が「サイバーセキュリティ燃え尽き症候群」に陥っている企業が急増している。ソフォスが日本を含むアジア太平洋地域で実施した調査によれば、回答した919社のうち85%が燃え尽き症候群とセキュリティ疲れを経験。そのうち90%が、過去1年間でそれらが増加していると回答している(図1参照)。

<図1>

サイバー脅威を深刻化させるセキュリティ担当者の「燃え尽き症候群」とは*2023年9月にソフォスが実施した、アジア太平洋および日本のサイバーセキュリティ環境に関する調査より。オーストラリア(204社)、インド(202社)、日本(204社)、マレーシア(104社)、フィリピン(103社)、シンガポール(102社)から得た合計919件の回答より作成
拡大画像表示

「燃え尽き症候群とセキュリティ疲れの原因の上位には、人員や予算などのリソース不足や経営幹部からのプレッシャー、脅威の増加や新たなテクノロジーによる複雑な対応が求められることが入っています。ウイルス対策ソフトやEDRを導入しても、実際は十分な対策ができておらず、現場は疲弊しているといった状況になっているのです」(大木本部長)

 調査結果を見ると、41%の企業で担当者が「努力を継続できず十分なパフォーマンスが発揮できない」と感じており、30%の担当者は退職・転職の意向を示している。調査対象者の23%は実際に退職しており、セキュリティ対策の持続可能性にネガティブな影響があることは明らかだ。

「サーバーの暗号化などの攻撃は、金曜の夜や祝日といった防御が手薄なタイミングを狙ってきます。大げさではなく、24時間365日体制で臨まなければセキュリティは担保できない時代となってきているのです。一方で、攻撃の手口は常に巧妙化・高度化し続けていますので、限られた人数で対応しようとすると、燃え尽き症候群やセキュリティ疲れに陥り、十分な対策ができなくなる恐れがあります」(足立代表取締役)