当記事は「弊社の他ブログに掲載していた記事を加筆修正のうえ転記したものです。
また、記事内容は 2017年7月 投稿時をベースとしております。
しかし、「 1 年経っても古くならない」内容を含んでおり、みまさまのお役に立つ情報であると考えております。


北海道最大級の IT イベント、オープンソースカンファレンスに参加しました。

オープンソースカンファレンス2017 Hokkaido
https://www.ospn.jp/osc2017-do/

その中で「サイバーセキュリティ」セミナーに参加いたしました。

その内容をご紹介いたします。

サイバーセキュリティの最新動向と経営の役割

サイバーセキュリティ分野で著名な与儀大輔氏を招き、45分の時間いっぱい貴重なお話をしてくださいました。

最新動向

ニュースでも「個人情報流出」の話題が絶選ないように思います。
実際にサイバー攻撃はこの数年で急増しているようです。

はじめに、最新動向についてのお話がありました。

手口の洗練化

従来よりメールでマルウェアを送りつける 標的型 の攻撃が多数報告されています。
そして、昨今では 攻撃の手口が洗練されて、見分けることが難しくなっている ようです。


10 年前は「いかにも怪しいメール」が届いたものでした。
不自然な文章であったり、自分に全く関係のない内容であったり、すぐに「攻撃かもしれない」と警戒できる内容でした。

しかし、昨今の標的型メールは、翻訳技術の発展により文章がとてもスムーズになっているようです。
そればかりでなく「閲覧者の興味をそそるもの」や「その人を知っていないとわからない」内容のものもあり、ぱっと見での識別が大変難しい状況があるようです。


また、2017年には「ファイルが暗号化されて全く開けなくなってしまう」 ランサムウェア が世間を賑わせていましたね。

攻撃対象の変化

このような「直接的な攻撃」の他に、「 ある製品のコントロールを奪う 」といった攻撃が増えているようです。
「ある製品」とは、「 PC 上で動くもの」に限らず、「自動車やカメラといった製品に組み込まれたソフトウェア」も対象です。

どちらも、「脆弱性を突いてコントロールを奪う」といった攻撃事例が報告されています。


セミナーでは、具体例として次が挙げられました。

自動車

最新の自動車は運転サポート技術が搭載されるようになりました。 このような自動車コントロールシステムの外部乗っ取りの事例が報告されているようです。

例えば、制御を乗っ取られて「自動ブレーキをご作動させて急ブレーキを作動させる」ようなことをすると、後続車の追突など事故につながる可能性があります。

エアコン

エアコンの自動運転や温度調節を誤作動させる事例です。

例えば真夏に設定温度を上げると、体温調節が難しい方が熱中症発症につながる可能性がります。

「エアコンで何がリスクなの?」と思いましたが、こんなこともありえるようです。

サイバーセキュリティは積極的対策が必要なリスク

攻撃の手口は複雑化し、さらにその対象もどんどん拡大しています。

競合や自然災害などのリスクのように、サイバーセキュリティも対策する必要があるリスクの一つ

という認識を持ち、「いくら投資するか」「どんな対策を施すか」を経営層がしっかり決定していくことが必要である。

講師の与儀氏は、強い口調でそう主張されていました。
本当にそのとおりです。


ウィルスソフトの導入やファイアフォールだけでは対処しきれないのです。
自然災害等のリスクの一つとして、捉える必要があります。

しかしながら、「サイバーセキュリティ対策を意識して進めている企業さんはそれほど多くない」のが現状のようです。

「セキュリティ」に弱い、というレッテルを剥がすことは困難

サイバー攻撃を受け、ひとたび個人情報流出などが発生してしまうと、その企業や団体は多大なダメージを受けます。

「_セキュリティ対策を怠ったために、トラブルに見舞われ、1億円でもいいから直して欲しいと泣きつかれた_」といったお話が、セミナーの中でもありました。


しかしながらそういった汚点はなかなか解消することは用意ではありません。

個人情報の流出で世に名が知れ渡ってしまった企業さんの行く末を見れば、サイバーセキュリティ対策を行わず放置しておくことがいかに大きな脅威であるか、もっと広く認識されても良いものではないかと思います。

今後求められる対策

サイバーセキュリティは、競合や自然災害などのリスクと同列で対策する必要があるリスクの一つです。

まずはこういった認識を広めていくことが重要です。


しかしながら、サイバーセキュリティ対策は「目に見えない」ものであるため、必要性を認識しにくい ことが対策の浸透の阻害いなっています。

具体的に、多くの方は「目に見えない、わけがわからない、利益も出ないものに投資したくない」と、考えており、いわゆる経営トップの方はこの傾向が顕著です。

しかしながら、予算を決めて対策を決定できるのは経営トップだけなのですね。


社員がサイバーセキュリティ対策の必要性を説いても「それでいくら儲かるの?」という返答が返ってくる。
(これはは本日のセミナーの中で、何回か耳にたワードです。)

利益が出ないなら対策する意味がないと、ビシネス視点では非常にあっさりと切り捨てられてしまう。 こういった傾向が強とても強いようです。

繰り返しますが、「何かが起こってからでは遅い」のです。

おわりに

まず安全であるということ


今回セミナーの中、こんなお話があり、印象深かったです。

いろいろな経営者の方にお会いすると、AIやIoTをやりたいという。
しかし、IT分野に関心があっても、セキュリティはまったく手付かずである。

ITのトレンドも把握しておかないと、企業として取り残されてしまうのではないかという心理があるのかもしれないが、そんなことよりも大切なのは「何のためにやるのか」ということだ。


「利益を上げて会社を存続させる」ために、利益を出すことは必須です。

しかしながら「売ること」にしか目がいかず、「安全であること」が疎かになってしまってはいいけません。

長く生き残るためにはまず「信頼」が立つべきであり、そのためのアクションを重視するべきだと私は考えます。

この記事の著者 Webrow (うぇぶろう)
Web アプリ開発、 Web 顧問 エンジニア、WordPress サポートいたします。