ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

経営者は、セキュリティ管理者を責めてはいけない

プライスウォーターハウスクーパース
【第1回】 2015年9月1日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 現代のサイバー攻撃は、過去に例を見ないほど進化し巧妙さを増している。セキュリティ対策によって、未然に防御できた時代は過去の話だ。セキュリティ対策に積極的な企業でさえも、次から次へと編み出される新しい攻撃手法に手を焼いている。現に、近年、サイバー攻撃の被害にあった企業の中には、高度なセキュリティ対策を講じていた企業が多く含まれている。

 経営者は、「サイバー攻撃を受けるのが当たり前(もしくはすでに受けている)」という事実を直視して、セキュリティ対策の方針を見直さなければならない。攻撃されてしまったことで、セキュリティ管理者を責めるのではなく、むしろ、サイバー攻撃を検知できたことを高く評価すべきだ。実際には、攻撃を受けて情報を抜き取られているのに、そのことに何ヵ月も、時には何年も気づかずにいる企業も少なくないのだから。

経営者は組織の何を強化すべきか?

 サイバー攻撃とセキュリティ対策は「いたちごっこ」に例えられることが多いが、力が拮抗したまま攻防を繰り返しているというよりは、防御側は常に劣性を強いられているというのが実情だ。余談だが、「いたちごっこ」は、英語だと「cat-and-mouse game」と表現する。「トムとジェリー」で言えば、企業は、いつもジェリーにやられっ放しのトムの方に違いない。

 PwCが実施した「グローバル情報セキュリティ調査2015」によると、2013年から2014年にかけて、世界におけるサイバー攻撃被害額の増加率が26%だったのに比べ、企業のセキュリティ投資額の増加率は4%に留まっていることが分かった【図1】。数字の上でも、対策が追い付いていないことが立証された格好だ。

【図1】PwC「グローバル情報セキュリティ調査2015」より

 世界的に見てもセキュリティ投資は十分でない。では、経営者は今後どの領域に重点的に投資すべきなのだろうか。前述のように「サイバー攻撃を受けるのが当たり前」であることを考えれば答えは明らかだ。

 ネットワークやデータベース等を常時監視して、通信の異常(データ量や接続先等)を検知するSOC(ソック:Security Operation Center)、インシデントを検知した際に迅速に対応するCSIRT(シーサート:Computer Security Incident response Team)、組織の壁を越えて連携することで情報武装するISAC(アイザック:Information Sharing and Analysis Center)等への取り組みにまだ十分な経営資源が配分されていない企業は今すぐに検討すべきだ。これらの対策については、本連載の中であらためて解説する。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧