サイバー攻撃から会社を守る、企業が最低限守るべき安全基準づくりを
最大のネックはトップの意識の問題だと多くのシステム管理担当者は指摘する。顧客の個人情報であれ、図面であれ、預かっているデータを攻撃から守り流出を防ぐことは必須である。にもかかわらず、コストがかかるからという理由で、大切なデータを野ざらしにしている。まして国政を預る組織がすきだらけ、調査協力にも応じないのでは、国家の信用にかかわる。
重要情報は暗号化し、定期的にログをチェックして不審な通信の痕跡がないかといった点を確認する。最近ではファイアウォールを突破して侵入してきた不正プログラムの動きを検知し、攻撃が始まる前に止めてしまうといったセキュリティ製品も出ている。
だが、完璧な防御策はない。攻撃側は次々に新しい手法を作り出す。昨年発見されたStuxnetは、イランの原発制御システムに侵入し影響を及ぼしたとされる。インターネットから切り離された閉鎖系ネットワークに、未知の脆弱性を利用して入り込んだ例で、従来のウイルスパターンファイルだけでは防げない。
とはいえ、できうるかぎりの対策を打とうとすると費用の問題が立ちはだかる。規模にもよるが、出口対策まで含めると数百万単位の投資が必要だ。中堅企業には小さくない負担になる。だからといって放置していいはずもない。
「この問題を解消するためには、ここまで対策をしていればトラブルがあってもある程度までは社会的に許容される、という基準を作り、そのレベルまでは義務化することが必要。経産省やIPAが中心となって基準作りを進めてはどうか」と前出の小屋氏は提言する。それ以上は企業の体力と必要性に応じて追加の対策を行えばよい。
企業内だけの問題では済まない。子どものオンラインゲームや交流サイト利用のため保護機能を解除してしまうと、不用意なWebサイト閲覧などで攻撃者の侵入を許し、会社との通信で自宅PCが会社への侵入の踏み台にされる可能性もある。家族への啓蒙も忘れてはならない。
(シニアライター:小長洋子 =週刊東洋経済2011年11月5日号)
