ランサムウェア攻撃に「うちは狙われない」は正しくない

「日本は安全」という神話の上にあぐらをかいた「うちは関係ない」「うちは狙われない」という考え方が、いまだ多くの経営者の中にある。

[滝沢優一，パナソニック ソリューションテクノロジー]

本コラムは2016年11月22日に掲載した「ランサムウェア攻撃に『うちは狙われない』は正しくない」を再編集したものです。

　エンドポイント対策の重要性についてお話しましたが、日本の情報セキュリティに対する意識は諸外国に比べてかなり低いといわれています。今でも「ファイアウォールを導入していない」「セキュリティ対策はPCに入っているウイルス対策ソフトだけ」という企業も実は多いのではないでしょうか。

　その理由として、費用的な問題ももちろんありますが、下記のような背景があると考えられます。

• 経営者のセキュリティ意識が低い
• セキュリティ対策を検討、提案できる人材がいない

　「日本は安全」という神話の上にあぐらをかいた「うちは関係ない」「うちは狙われない」という考え方が、いまだ多くの経営者の中にあります。

　一般的にセキュリティ対策は企業の生産性をよくするものではありません。何も起こらないことを前提とすれば投資をする必要性もありませんし、投資しても無駄になってしまうかもしれません。そういう意味でセキュリティ対策を「保険」だと捉える人もいます。

　しかし、私はそうは考えません。「保険」はあくまでも事故が起こったときの損害に対処するものですが、セキュリティ対策は事故を起こさないための「転ばぬ先のつえ」なのです。

　特に、ばらまき型でおこなわれるランサムウェア攻撃に対して「うちは狙われない」といった考え方は非常に危険です。今やセキュリティ対策を無視した経営戦略など絶対に考えられない状況だということを経営層も認識する必要があります。

セキュリティ人材の不足

　セキュリティ対策の必要性は分かっていても、どんな製品をどのように導入したらよいか分からないという悩みも多いはずです。こういった悩みはセキュリティ担当者のスキル不足やセキュリティ担当者がいない企業でよくお聞きします。

　今やインターネットを使えば標的型攻撃を防御するさまざまな製品の情報を手に入れることはできますし、販売店などから情報を仕入れることもできます。しかし、入手した情報を総括的に理解、判断し、最適な製品を導入することはかなり難しいことです。宣伝文句だけで最先端の機器を導入しても、使いこなせなければ宝の持ち腐れになるだけです。

小さく始める標的型攻撃、ランサムウェア攻撃対策

　費用や人材不足を理由にセキュリティ対策に手をこまねいているのは得策ではありません。高性能な機器を導入することなく、最小限の投資でできる効果的な方法を考えていきましょう。