情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年4月16日号
***************************************************************
今の情報セキュリティ対策予算でサイバー攻撃から守れるか
***************************************************************
日本に対するサイバー攻撃が増加の一途を辿っているが、サイバー攻撃に対するセキュリティ対策に
頭を悩ませる企業や団体も多いのではないだろうか?
一概にセキュリティ対策といっても様々な技術があり、対策手法やソリューションも多様化していて
何が適切なのか分からないという企業や団体も少なくなく、セキュリティソリューションを提供する企業
からの提案を一方的に受け「これをすれば大丈夫」というような、安易な提案からセキュリティ製品を
導入するケースもよく見かける。
しかし、それでもサイバー攻撃を受けホームページを改竄されたり、大切な情報を流出したりする事故
が後を絶たない。
企業としての資金にも限界がある中で、どの程度セキュリティに対する予算を確保し、何をしなければ
ならないかの判断が経営判断として重要になってきている。
今年1月に一般社団法人日本情報システム・ユーザー協会(JUAS)からセキュリティ対策にどの程度
の予算を割り当てているのか等を調査した「企業IT動向調査
2021」が発表された。
この調査結果によると、調査対象は、東証上場企業とそれに準じる企業の 4508 社で、各社の
IT
部門長に調査依頼状を送付し、Web アンケートで
1146社から回答を得たとあり、新型コロナ
禍の影響で情報セキュリティ費用は規模・業種によらず増加傾向が加速したとある。
調査結果は企業の売上高別に纏められていて、情報セキュリティに対する経営者の意識は「経営
層は、セキュリティリスクを経営課題のひとつと認識しており、セキュリティリスクや重大なセキュリティ対策
については、経営会議等で審議・決定される」が全体の平均では39.9%となっている。売上が高い
企業経営者ほど意識が高いという結果が出ていて、売上が1兆円以上の企業経営者では90.7%
である一方、売上が100億円以下企業の経営者の意識は31.5%と低い結果となっている。
これに対し、IT予算に占める情報セキュリティ関連費用は全体の平均で17.5%であって売上高が
1兆円以上の企業が31.5%に対し、100億円未満の企業は15.4%となっている。
つまり、ビジネスのIT化による効率や利便性を追及する各種予算の中で、情報セキュリティに対する
予算は企業の売上規模が下がるほど少なくなり、対策が取れていないという事になる。
しかし日本の企業数は約380万社あり、非上場企業が約99.9%でその大半を構成している。
おそらく、当該調査範囲に該当しない売上高が更に低い非上場企業の経営者の意識はもっと低く
もしかしたら情報セキュリティ対策などという概念すら存在していないのかもしれない。
以前、ある小規模企業の経営者と話をした際、「うちのような小さな会社がサイバー攻撃など受ける
はずもない」と話していたのを記憶している。
確かに重要情報は多くはないかもしれないが、ハッキングの目的はそれだけではない。小規模企業で
あったとしてもネットワークに繋がる各種情報の収集や踏み台としても大きな役割を果たすのである。
それによって、外部委託サーバに対するアクセスルートを確保し、Webサーバやメールサーバに侵入
すれば、関連会社や取引先など様々なところに対する侵入経路を確立することができるかもしれない。
一方セキュリティ企業のソフォスが企業の意思決定者に行ったセキュリティに関する調査では、企業が
感じている最大の不満は、経営層の無関心であるとしている。
調査結果では、回答者の約70%が2020年にデータ侵害を経験、自社のデータ漏えいを「非常に
深刻」または「深刻」と評価し、約17%が1週間に50回の攻撃を受けていた。とある。
回答者が考える不満は、第1位が「経営幹部がサイバーセキュリティを安易に捉えており、サイバー
セキュリティの脅威や問題が誇張されている」で、2位は「予算の不足」、3位は「セキュリティ担当者の
不足」の順になっている。
4月に入りネット上に公開された日本国内の不正アクセスによる事故は15件発生し、個人情報の
流出数が約44万6000件、クレジットカード情報の流出数は6万3500件を超えている。
一方、中国ブラックマーケットのハッカーズコミュニティで今月に急増しているハッキング情報の売買は
クレジットカード情報であり、全部で8件の書き込みが確認されている。
しかも【日本のクレジットカードのCVVを販売(毎日アップデート)】と言ったようにクレジットカード番号
だけでなくCVV(セキュリティコード)もセットで販売している。
複数の情報売買情報提供者がいる中の1人に保有数を確認してみると、数十万件の情報を保有
しているという。
こうなると、不正利用されるのは間違いなく、該当するカード保有者が被害を受ける事になってしまう。
このようなクレジットカード情報の流出は、ショッピングサイトからの流出とフィッシングによる流出の2つの
パターンが考えられるが、サイトからの流出を取り上げれば、先に書いた売上金額が比較的大きくない
企業で情報セキュリティ対策に費用をかけていないサイトに該当すると言えだろう。
また中国ブラックマーケットにはハッキングツールも数多く掲示されていて、4月に入り【溯雪Beta7】と
呼ばれるツールが掲示されていた。
【溯雪Beta7】は、ブルートフォース方式のASP/
PHPウェブページのパスワードクラックツールである。
ショッピングサイトなどきちんとしたセキュリティ対策をしていなければ、このようなツールを使い、あっという
間にサイトに侵入されてしまう。
4月14日にはマイクロソフトから19件のCriticalな脆弱性を含む108件の脆弱性が確認され修正
プログラムが提供されている。
頻繁に発生する脆弱性情報、自社ネットワークやシステムの構成から発生するセキュリティリスクなど
様々な観点から動的に適切なセキュリティ対策をしなければ、サイバー攻撃者の餌食になる可能性
がある。
2020年Numbeoが発表した犯罪率に関する安全な国ランキングで日本は第10位であったが、
インターネットの世界に国境はない。
ネットに繋がった時点でサイバー脅威に晒されていることを、企業の経営陣は理解しなければならない。
ビジネスにおける行動は「コスト」「投資」「浪費」に分けられると言われ、コストは「支払=リターン」、
投資は「支払<リターン」、浪費は「支払>リターン」である。
情報セキュリティ対策は、「保険」的な考えを持っている人も少なくないと思うが、それは過去に表現
されていた例えであり、サイバー攻撃が当たり前のように起きている現在では「サイバーセキュリティは
コストではなく投資」と言われている。
インターネットを使ったデジタル社会において、情報セキュリティ対策は「企業の信頼構築」「ビジネス
メリット」につながり、情報セキュリティ対策費用が結果として事業継続を左右する事になる。
つまり「事業拡大=信頼と安全性=情報セキュリティ対策」となり、情報セキュリティ対策を軽視する
企業は事業を拡大できず、最悪の場合経営危機まで招いてしまう事になるというわけである。
事業拡大を選ぶか事業継続の危機を選ぶかは経営陣の力量に掛かってくることになる。
コロナ禍でテレワークやリモート会議など企業のあり方も大きく変わってきた。
安心してビジネスを推進するためにも、今一度情報セキュリティ対策に対して考えてみたい。
---------------------------------------------------------------------------------
<参考URL>
ZDNet
Japan:2021/2/22
サイバーセキュリティはコストか、投資か?
https://japan.zdnet.com/article/35166348/
ZDNet
Japan:2021/4/8
企業セキュリティの一番の不満は「経営層の無関心」--ソフォス調べ
https://japan.zdnet.com/article/35169060/
一般社団法人日本情報システム・ユーザー協会:2021/1/19
『企業IT動向調査2021』プレスリリース第2弾(情報セキュリティ)
https://juas.or.jp/cms/media/2021/01/it21_security.pdf
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved