ここ数年のITビジネス系勉強会では、よく「セキュリティは経営課題」というキーワードが用いられていた。2015年12月に経済産業省が公表した「サイバーセキュリティ経営ガイドライン」の影響も色濃いが、背景にはマルウェア(ウイルスなど悪意を持つソフトウェアの総称)やサイバー攻撃による被害額の拡大と、マルウェア自身が金銭目的や特定組織内の情報を狙う「標的型攻撃(Targeted Threat/Attack)」などサイバー攻撃の目的・方向性の変化がある。
侵入後に潜伏して、情報収集やタイミングを見て攻撃を仕掛ける「APT攻撃(Advanced Persistent Threat)」の平均潜在期間は200日以上におよび、OSやアプリケーションの脆弱性をインターネット上で売買するサイトも増加。一説には140カ国でサイバー攻撃ツールが作られているという。攻撃者はひな形となるコードから見よう見まねでマルウェアを開発するため亜種亜流が氾濫し、プログラムのハッシュ値を元にしたセキュリティ対策プログラムでは太刀打ちできないのが現状だ。
他方でマルウェアは行動や目的に応じて区別されるが、最近は感染するとPCのストレージ上に保存したファイルやフォルダーを暗号化し、利用者に身代金を請求する「ランサムウェア(Ransomware)」が世界を騒がせている。ランサムウェア自体は1989年に存在が確認されているものの、被害が急速に拡大したのは2015年以降。2017年5月には、Windowsの古い脆弱性を利用し、LAN経由で感染を拡大させ、利用者に暗号通貨の一種であるビットコインを要求する「WannaCry(WannaCryptなど)」が注目された。
このようにコスト削減を目的として、古いソフトウェアを使い続けるのはセキュリティリスクを抱えることと同義であることに気付くべきだ。一部の経営層が放置する理由の1つが、リプレースなど判断に必要な情報が経営層まで上がってこないからである。そのため企業がセキュリティ対策を強化するためには、セキュリティに対する専任者を指名し、経営層と情報や価値観を共有するCISO(最高セキュリティ責任者)を任命するなど、企業全体での対策が必要な時代であることを再認識しなければならない。
阿久津良和(Cactus)