今年6月の年金問題をきっかけに、企業のサイバーセキュリティ対策に取り組む姿勢は、各企業のCSIRT構築やセキュリティ人材育成などから明らかである。さらにそれを裏付けているのは、ラック社やFFRI社の株価上昇っぷり。

ただし、大企業も含め、十分なセキュリティ対策が施されているわけではない。きっと乗り気がないのであろう。

乗り気がない理由

• セキュリティ対策は儲からないのに、やらなきゃいけない
• サイバー100%防御はない
• セキュリティ専門家は、なんとなくダークサイドな雰囲気を醸し出す
• マルウェアを作った人間がアンチソフト作ってそう

システムは、しばしば「家」に例えられることがある。いわば、サイバー攻撃(者)が泥棒とするなら、ホームセキュリティ対策がサイバーセキュリティ対策にあたる。ホームセキュリティ対策には、自ら家に監視カメラを購入する人もいれば、警備会社と契約する人もいれば、犬を飼う人もいる(そういえば、最近泥棒のニュース見ないな…)。アノニマスがルパン3世だとすると、「私の家、ルパン3世に狙われたら、そりゃ～好き勝手やられちゃう」と思うところだが、ルパン3世は人の家など狙わない。銀行か財宝が置いてある遺跡を狙う、じゃないと絵的に面白くない。ただ、ルパン3世はたまに自分が好きな可愛い女の子を救うために、たまに本職では狙わないようなターゲットを定める。きっとこれは、アノニマスがイルカ漁をしている地域のHPに攻撃を仕掛けたことにあたる。

つまり、サイバー攻撃者は、レベルが上がれば上がるほど、お宝がある場所しか狙わなくなる。「自社にはたいした情報がない」、経営者がこう思った時点で、企業内のサイバーセキュリティ対策は一気に進まなくなる。まだまだ、この分野は色々ありそうだ。