サイバー攻撃対策の課題
日本におけるサイバー攻撃対策の課題は、セキュリティ人材不足とセキュリティ意識の低さにあります。
サイバーセキュリティ人材の不足
経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会最終とりまとめ」によると、日本国内では約11万人のサイバーセキュリティ人材が不足しているとされています。特にクラウドやリスク管理、脅威分析などの分野でスキルギャップが大きく、多くの企業で専門人材の確保が課題となっています。
人材は増加傾向にあるものの、需要の伸びがそれを上回っており、マネジメント層から実務担当者まで幅広い層で人材不足が深刻化しています。政府は育成事業の拡充や資格制度の見直し、中小企業支援などを進め、企業のセキュリティ体制強化を後押ししています。
参考:サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ|経済産業省商務情報政策局サイバーセキュリティ課
セキュリティ意識の低さ
日本では、セキュリティ意識の低さに比例してサイバーセキュリティ人材も不足しています。人材不足が続けば、日々進化するサイバー攻撃を防ぐことは困難になるでしょう。
例えば急増しているサイバー攻撃のひとつにあげられるのが、標的型メール攻撃です。標的型メール攻撃では、取材依頼・求人応募・配達確認など通常の業務用メールを装って、個人情報などを盗み取ります。巧妙に偽造されたメールのため、リテラシーの低い社員がこれを開いてしまうことで、社内システムに甚大な被害をおよぼす危険性もあります。
サイバー攻撃の脅威に対する組織・社員の認識が足りない日本では、社内教育を徹底し、セキュリティ意識の向上を図る必要があるでしょう。
日本がすべきサイバー攻撃対策
日本が行うべきサイバー攻撃対策とは、どのようなものがあるのでしょうか。具体的に解説します。
サイバーセキュリティ人材の確保
日本においてサイバー攻撃対策の要となるのが、サイバーセキュリティ人材不足の解消です。経済産業省は、「サイバーセキュリティ体制構築・人材確保の手引き」において、以下の方法で人材確保することを提唱しています。
- ・リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換及び育成
- ・IT の管理・運用に関する業務経験を有する人材の配置転換及び育成
- ・セキュリティ対策関連の業務経験を有する人材の中途採用
- ・ セキュリティを専門とする教育機関を修了した人材の新卒採用
- ・兼業や副業で従事する人材の活用
引用:サイバーセキュリティ体制構築・人材確保の手引き|経済産業省
サイバーセキュリティ人材の育成
サイバーセキュリティ人材の育成は、日本の対策において不可欠です。経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」では、国内のサイバーセキュリティ人材は約11万人不足していると指摘され、2030年までに国家資格「登録セキスペ(情報処理安全確保支援士)」登録者を5万人に拡大する目標を掲げています。
参考:サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ|経済産業省商務情報政策局サイバーセキュリティ課
経営者の積極的関与
サイバー攻撃対策は、ビジネス全体の利益に直結するため、経営者による積極的関与が必要です。末端の技術者の十分な理解だけでなく、経営者自身もサイバーセキュリティ対策に積極的にかかわり、必要な知識を身に着けていかなくてはなりません。さもなくばトラブルが起こった際に、サービス停止の判断・対策方法など関係者への説明責任を果たせないでしょう。
情報セキュリティ部門だけに任せていると、適切に対応できず、ビジネス存続の危機にもかかわります。サイバー攻撃に対応するには、経営者自身の積極的なかかわりと意識の向上が不可欠です。
最先端のセキュリティ対策
サイバー攻撃の手法・手段は技術の進歩とともに進化し続けています。最新技術を用いた攻撃に対し、従来のセキュリティ対策では太刀打ちできないケースもあるようです。
例えばAIを活用することで、システムのもつ脆弱性を誰でも簡単に見つけ出せるでしょう。また、AIのもつ高度な分析能力を悪用することによって、これまで以上に手の込んだ凶悪なサイバー攻撃が可能になるといわれています。
また、機械学習によってまるで人間のような操作が行えるAIも存在します。各企業では、AIを活用したサイバー攻撃に対抗するため「AIを使ったセキュリティ対策」を実施するとよいでしょう。
最先端のセキュリティ対策には、サイバー攻撃の脅威を総合的に管理する「UTM」がおすすめです。検討の際は以下の記事を参考にしてください。
多層防御の実施
巧妙化するサイバー攻撃に対処するには、複数のセキュリティによる多層防御が必要です。一つのセキュリティだけでは、多様化するサイバー攻撃に対応できません。セキュリティ専門のプロジェクトを立ち上げるなどして、多層構造のセキュリティシステムを構築するとよいでしょう。
多層防御の方法は企業ごとにさまざまありますが、標的型サイバー攻撃に関しては「内部ネットワーク監視」が有効です。内部ネットワーク監視は、社内ネットワークにおける不審な通信の検出に長けており、不正に侵入してくる通信の特定や影響範囲の測定まで可能です。
サイバー攻撃対策をして自社のセキュリティを高めよう!
日本はセキュリティ意識が低く、サイバー攻撃に対応できる人材が不足しています。優秀なセキュリティ人材を確保するには、専門の学術機関を設けるなどの工夫が必要でしょう。また、経営者自身の意識向上・十分な社員教育・多攻撃層防御を実施して、これからの時代に適したサイバー攻撃対策を行ってください。
サイバー攻撃への対策には、サイバー攻撃対策ソフトの導入が不可欠です。以下の記事を参考にぜひご検討ください。
