企業がサイバーセキュリティ対策に乗り気がない理由
今年6月の年金問題をきっかけに、企業のサイバーセキュリティ対策に取り組む姿勢は、各企業のCSIRT構築やセキュリティ人材育成などから明らかである。さらにそれを裏付けているのは、ラック社やFFRI社の株価上昇っぷり。
ただし、大企業も含め、十分なセキュリティ対策が施されているわけではない。きっと乗り気がないのであろう。
乗り気がない理由
- セキュリティ対策は儲からないのに、やらなきゃいけない
- サイバー100%防御はない
- セキュリティ専門家は、なんとなくダークサイドな雰囲気を醸し出す
- マルウェアを作った人間がアンチソフト作ってそう
システムは、しばしば「家」に例えられることがある。いわば、サイバー攻撃(者)が泥棒とするなら、ホームセキュリティ対策がサイバーセキュリティ対策にあたる。ホームセキュリティ対策には、自ら家に監視カメラを購入する人もいれば、警備会社と契約する人もいれば、犬を飼う人もいる(そういえば、最近泥棒のニュース見ないな…)。アノニマスがルパン3世だとすると、「私の家、ルパン3世に狙われたら、そりゃ~好き勝手やられちゃう」と思うところだが、ルパン3世は人の家など狙わない。銀行か財宝が置いてある遺跡を狙う、じゃないと絵的に面白くない。ただ、ルパン3世はたまに自分が好きな可愛い女の子を救うために、たまに本職では狙わないようなターゲットを定める。きっとこれは、アノニマスがイルカ漁をしている地域のHPに攻撃を仕掛けたことにあたる。
つまり、サイバー攻撃者は、レベルが上がれば上がるほど、お宝がある場所しか狙わなくなる。「自社にはたいした情報がない」、経営者がこう思った時点で、企業内のサイバーセキュリティ対策は一気に進まなくなる。まだまだ、この分野は色々ありそうだ。