セキュリティ対策の効果が｢出る企業｣｢出ない企業｣の差 "同業他社が〇〇に感染→〇〇対策"は非効率？ お金･人的リソースをムダ遣いしない方法

（写真： bee / PIXTAA）

「同業他社がランサムウェア被害に遭ったからランサムウェア対策をする」。こんな場当たり的なセキュリティ対策をしていないだろうか。今や攻撃手法も狙われる穴も五万とある中、自社がどこから、どういう手法で狙われるかはわからない。ヤマを張って対策しているようなものだ。

求められるのは「自社の資産と守るべき優先順位を把握し、リスク中心のアプローチを取ること」。そう話すのは、情報セキュリティを専門とするIIJグローバルソリューションズの松木和彦氏だ。限られたリソースの中で、どのように効率的かつ効果のあるサイバーセキュリティ対策を行えばいいのか、話を聞いた。

なぜインシデント対処を軸にするとうまくいかない？

サイバーセキュリティには企業間で大きな格差がある。

それは実際にインシデント被害に遭ったときに表面化する。十分に対策ができていれば被害が比較的小さく済み、復旧も早い傾向にあるが、対策が十分でないケースでは被害が大きく、復旧に要する時間や費用、労力の負担が重くなりがちである。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

また、対策に取り組んでいる企業であっても、非効率的な対処の仕方をしているケースもある。例えば冒頭の「同業他社が〇〇に感染したから〇〇対策ソリューションを導入する」といった場当たり的な対策を繰り返している場合だ。

あるいは、何でもすべて対策しようとして本来、あまり重要でない領域に費用をかけている場合が挙げられる。