迫るサイバー攻撃の脅威
企業はなにをするべきか？【前編】 特別広告企画／DNP大日本印刷

西本 なるほど。城の守りで例えれば、大手門の門番がアンチウイルスソフトで、札付きの悪人さえチェックすれば、殿様は安泰と考えたのが従来の対策。Trapsは善人を装って大手門から入った未知の悪人も、不審な動きをしたらすべて捕まえるというものですね。つまり、「多層防御」を構築するのが狙い。ところで、そのTraps、お客様の反応はいかがですか。

蟇田 Trapsは標的型攻撃への非常に有効な対策だと評価していただき、特にシステム部門や経営層の方が興味を持たれます。お客様も、ファイアウォール等の入口対策では防ぎきれないと理解し始めていますね。昨今の標的型メールは入口を突破してきます。不審なメールの添付ファイルは開かないよう教育はしていても、社内で擬似的な標的型メールをテスト配信すると、必ず誰かが開けてしまう。では、どう手を打つのか。そこで、侵入された後でも悪意ある動きを止めてくれるTrapsが有効だと評価されるのでしょう。ただ、今後は未知の攻撃手法が出てきます。その備えとして、攻撃を素早く検知して、影響範囲を特定し、可能な限り早期に回復させる、いわゆるCSIRT（シーサート：Computer Security Incident Response Team：コンピュータやネットワークを監視し、発生した問題に対処する組織）の重要性が増してきます。DNPでは、CSIRTのようなサイバー攻撃に対処する要員養成プログラムも手がけています。

西本 実際、標的型メールだけでなく、ホームページを閲覧しただけでウイルス感染する事例も多々起きており、いずれにせよ、感染に気づかずに情報が盗まれることへの警戒は必須で、こうしたケースにきちんと対処するプロを養成する取組みは重要です。

コストから投資へ、情報セキュリティは最大の経営課題

蟇田 ところで昨年末に政府が「サイバーセキュリティ経営ガイドライン」を公開しまして、経営者の方とお会いすると、異口同音に今年は情報セキュリティが最大の経営課題だとおっしゃいます。そこで、多層防御が話題になるのですが、対処の仕方が解らない。そのあたりのご理解を少しでも深めるお手伝いが、私たちの役割だと思います。

西本 サイバーセキュリティ経営ガイドラインは、企業にとって非常に重い意味があります。また、一昨年、個人情報保護法も改正され、社内の安全管理措置の強化としてサイバー攻撃への新たな対策も盛り込まれました。さらに今、経営者は現状を適切に把握し、ITに関する防御ソフトだけでなく、情報の「守り方の知恵」を多層的に考える責務があります。情報を扱う従業員の管理や教育等、技術的・制度的な仕組みを構築し、それらを総動員した対策を講じないと、経営責任を問われかねません。

蟇田 そうですね。DNPはICカードの開発も手がけており、工場の物理的な対策はもちろん、従業員の教育も含めて永年、経営課題としてさまざまなセキュリティ対策に取組んできました。私たちは従業員のモラルも重要だと考えます。

西本 情報セキュリティ対策では、従業員のモラルの向上や意識改革は不可欠です。従業員が高いモラルを持たずに、企業の大切な「情報」を扱うのはもってのほか。また、これだけITが発達すると、部署を超えてすべての従業員が正しい情報リテラシーを持ち、いかに安全に情報を扱えるかが企業力として問われる時代だと感じます。