サイバー攻撃を受け｢大打撃の企業と軽傷で済む企業｣の違いとは？ 攻撃の｢100%防御｣が不可能な今､被害を最小限に抑えるための"鉄則"

――IT環境の複雑化は、攻撃対象の多様化につながっていますか。

IT環境やソフトウェアの変化は非常に激しく、それにより攻撃に至るまでの侵入経路が著しく多様化しています。

VPNなどのエッジデバイスの脆弱性を悪用した侵入、フィッシングによる認証情報詐取、情報窃取型マルウェアなどがあり、さらにソフトウェアのサプライチェーン攻撃も無視できません。現状、多くの企業がオープンソースを含む多様なソフトウェアを組み合わせて使用しており、自分たちが把握していない脆弱性を抱え込んでいるケースが増えています。

以前は「基本を徹底すればいい」とされてきましたが、IT環境がクラウドサービスやリモートワークを含め複雑化し、「基本」を隅々まで徹底すること自体が難しくなっています。

攻撃スピードの加速と「侵入前提」の防御策

――攻撃側のスピードも年々加速しています。その要因は？

ゼロデイ脆弱性（パッチが出る前に悪用される脆弱性）がここ3、4年で増えています。これは防御より攻撃側のほうが、スピードが速いことを裏付けています。

理由の1つは、AI技術の活用などで、攻撃側が脆弱性を集中的に見つけ出すのに力を入れていることです。また、パッチ公開から防御側がそれを当てるまでの間に攻撃される例も増えています。

以前なら、脆弱性が見つかっても「次の定期的な修復」で対応すれば間に合うとの感覚がありましたが、今や1週間後でも危うい状況です。

とくに外部に露出しているデバイスの脆弱性は、アメリカのCISA（サイバーセキュリティ・社会基盤安全保障庁）が翌日までの対応を求める緊急指令を出すほど、スピード感が求められています。