IoTの普及でサイバー・セキュリティは未知の世界へ

昨今、大規模な情報漏えい事件が相次いでおり、企業のサイバー・セキュリティ対策はより切実なものとなってきている。ただし、一口にサイバー・セキュリティと言っても、その内容はかなり広範にわたる。

ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリスト 礒田 優一氏

ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリストの礒田 優一氏

ガートナー ジャパン リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリストの礒田 優一氏は言う。「ガートナーでは、サイバー・セキュリティ上の脅威を大きく『アウトサイダーの脅威』と『インサイダーの脅威』の2つに分類しています。例えば、今年5月に発覚した日本年金機構の情報流出事故は、外部の攻撃者から送りつけられたメールによる標的型攻撃が発端なのでアウトサイダーの脅威に当たります。一方、一昨年7月に発覚したベネッセの情報漏洩事故の場合は、内部者がUSBデバイス経由で機密情報を窃取したことから、インサイダーの脅威に位置づけられます」

こうした脅威のほか、法制度もサイバー・セキュリティ対策で踏まえるべき重要事項となる。2016年1月に運用がスタートするマイナンバー制度への対応に、今まさに追われている企業も多いだろう。また、2014年11月より施行されているサイバー・セキュリティ基本法に基づく具体的な対策も、これから求められていくことになる。

「クラウドやモバイルの進展により、企業のITインフラが大きく変わりつつあります。こうした動きは、ビジネスにおいてチャンスを生み出す一方で、セキュリティ上のリスクも生み出しています。加えて今後、IoT(Internet of Things)やドローン、スマートマシン、仮想通貨など、世の中のあらゆるモノや仕組みがデジタル化されていくのに伴い、サイバー・セキュリティの世界も今とは違う次元へと突入していくのは間違いないでしょう」(礒田氏)

セキュリティ予算獲得は、客観的な数字で経営層に説明するのが効果大

このようにサイバー・セキュリティ上の脅威が増大/複雑化する中、企業は「どこに、どれだけのセキュリティ投資を行うか」の決断を迫られている。礒田氏は次のように説明する。

「セキュリティ対策は多種多様なので、何をどこまでやればよいのかというのは必ず出てくる課題です。そこで有効なアプローチとなるのが、全体から個別へとドリルダウンしながら、対策を”松・竹・梅”のようにレベル分けしていく方法です。例えば、20種類の対策があるならば、自社の投資余力や守るべき情報資産の種類/場所、リスクが発現した際の被害の大きさなどについて検討し、レベル分けしてそれぞれにどこまで投資するかを決めます。

次に、1つ1つの対策について、例えば標的型攻撃への対策ならばサンドボックスを入れるのかどうか、入れるのであればオンプレミスにするのかクラウド・ベースのものにするのかといった具合に検討していきます。製品やベンダーによってサービスの内容/価格に差があるので、そこもまたレベル分けして優先順位を決めることが必要です」

こうした考え方に加えて、どのセキュリティ対策を実施するのかの判断材料として礒田氏が推奨するのが、他社での導入率や成熟度である。

「ガートナーの調査を見ると、世間での平均的な対策度合いが把握できます。例えば、500人以上の規模の企業で50%を超える導入率の対策はどれか、あるいはある業種での平均スコアは何点か、といった具合です。少し消極的なやり方に思えるかもしれませんが、セキュリティへの投資というのは経営層からあまり好まれない傾向にあるものです。そのため、対策の実施までこぎつけるには、いかに経営層の理解を得られるかがポイントになります。セキュリティ・ベンダーから言われたことをそのまま経営者に伝えるのに比べれば、客観的な数字を示して必要性を訴えるほうが、ずっと説得力が増すはずです」(礒田氏)