企業の9割は脅威が侵入済みだが、その多くは事実に気付いていない
「衝撃的な数字かもしれないが、日本の企業の9割は未知の脅威が侵入済みである」
日本マイクロソフト チーフセキュリティアドバイザー 高橋 正和氏
冒頭で高橋氏は日本におけるサイバー攻撃の現状をこう紹介する。米マッキンゼーの調査によると、サイバー攻撃による推定被害総額はグローバルで360兆円。1件に換算すると4.2億円となる。このような状況から、”セキュリティ問題はサーバールームから役員室へ移動した”と言われている。実際、米国では適切なセキュリティ対策を実施していなかったとして、株主からCEOとCIOの退任が要求されたという事例も出てきていいるという。
続いて高橋氏が紹介したのは、マイクロソフトにおける2014年7月~12月の6カ月間で検知したマルウェアの件数だ。その数字は80万件で「1台あたり年間2.6回検知している。つまり2100台に1台は感染している」と高橋氏は述べる。
確かにこの数字を聞いて、「大丈夫なのか?」と思うかもしれないが、同社のアンチウィルスのリアルタイム検知適用率は99.85%となっており、高橋氏いわく、一般の企業や組織で90%以上を確認できている企業はほとんどないと言い切る。大事なのは、この適用率が90%に下がっただけでも、80万件が60万件、感染数も100件などに下がるということだ。これが「セキュリティのパラドックス」。セキュリティ対策がしっかりしていないと、攻撃を受けているかどうかさえ分からない。
また、現在のIT基盤が持つ課題について、BYOD(私物のデバイス利用)やテレワークなどの普及による持ち込みデバイスの増加、および外部サービスの無断利用などによるシャドーITの問題を挙げる。
「これらの問題に対してどのようなセキュリティ対策を行っていけばよいのか。そしてもう一つ、IDマネジメントをどうまとめていくかも大きなポイントです」(高橋氏)
また、高橋氏は経済産業省から出された「サイバーセキュリティ経営ガイドライン(案)」(*編集部注:2015年12月28日に策定) を紹介し、「この中で経営者に認識して欲しいのは、ITの利活用は企業の収益性に不可欠なもの。サイバー攻撃は避けられないリスクです。社会損害は経営者のリスク対応の是非が問われます」と、今やサイバーセキュリティが大きな経営課題であることをあらためて強調した。
また高橋氏は、「ビジネスは日本、さらに世界を見ているのに対し、ITは江戸城という非常に狭い領域だけを見ているのではないか」と企業セキュリティの問題点を例えた上で、こうした背景には「経営者とIT担当者、セキュリティ担当者が腹を割って話せる機会がないことがあるのでは」と指摘した。
