サイバー被害､侮ってはいけない｢公表資料｣の価値 正確な現状把握を阻むセキュリティ対策の課題

サイバー空間における脅威の現状を把握するのは思いのほか難しい（写真：saki / PIXTA）

「サイバー攻撃により深刻なシステム障害が発生」「不正アクセスにより大規模な情報漏洩が起きた」など、昨今はサイバーセキュリティに関連する報道がトップニュースを飾ることも珍しくはなくなった。

それゆえに経営課題の1つとして、サイバーセキュリティにおけるリスクをあげる経営層も少なくないだろう。

一方で最前線に立ち、まさにリスクと対峙している現場からは「組織運営において重要なミッションを担っているはずだが、円滑な業務遂行にあたり制約が多く、適切な対応が厳しい状況だ」と疲弊する担当者の発言を聞くこともある。

こうしてジリ貧となっている組織は珍しくはなく、背景には経営層のサイバーセキュリティに対する理解不足があることがうかがえる。

理解不足が生じるのは「現状把握」が困難だから

その要因として、私たちを取り巻くサイバーセキュリティの「現状を正確に把握すること」の難しさがあげられる。

効果的な対策を打つためには、今どのような脅威が差し迫っているのかを知ることは避けて通れない。また漏れや重複のない対策とするには、脅威の全体像を把握することが重要だ。

しかし、サイバーセキュリティと一口に言っても技術的な領域だけではなく、リスク管理や監査、法律、さらに最近では国際情勢が関係するものもあり、範囲が広く十分に情報を収集することがかなわない。それが全体を俯瞰するうえで大きな壁となる。

脅威を分析する対象の1つに、サイバー攻撃を受けた組織が関係者向けに発信を行う被害公表があるが、まさにそれも見方を変えれば、全体像を知る困難さを具現化している例と言えるだろう。