サイバー攻撃対策の課題
日本におけるサイバー攻撃対策の課題は、セキュリティ人材不足とセキュリティ意識の低さにあります。
サイバーセキュリティ人材の不足
経済産業省による2019年のIT人材需給に関する調査では、2019年をピークにIT人材は徐々に減少し、2030年にはおおよそ40~80万人規模での不足が生じると試算しています。このうち、サイバーセキュリティ人材不足はさらに深刻です。
令和3年4月の経済産業省発表の「サイバーセキュリティ体制構築・人材確保の手引き」では、セキュリティ体制の確立のためには、CISO(最高情報セキュリティ責任者)などの経営層を補佐する機関の設置が有効としています。しかし現状では、日本企業で専任のCISOの設置状況は7.5%、CSIRT(Computer Security Incident Response Team) に1名以上の専任のメンバーを配置している企業は 31.1%に留まっています。多くの場合セキュリティタスクを担う人材は他業務と兼務しており、マネジメントレベルのセキュリティ人材不足が大きな課題となっています。
参照:
IT人材需給に関する調査(概要)|経済産業省
参考資料(IT人材育成の状況等について)|経済産業省
サイバーセキュリティ体制構築・人材確保の手引き|経済産業省
セキュリティ意識の低さ
日本では、セキュリティ意識の低さに比例してサイバーセキュリティ人材も不足しています。人材不足が続けば、日々進化するサイバー攻撃を防ぐことは困難になるでしょう。
例えば急増しているサイバー攻撃のひとつにあげられるのが、標的型メール攻撃です。標的型メール攻撃では、取材依頼・求人応募・配達確認など通常の業務用メールを装って、個人情報などを盗み取ります。巧妙に偽造されたメールのため、リテラシーの低い社員がこれを開いてしまうことで、社内システムに甚大な被害をおよぼす危険性もあります。
サイバー攻撃の脅威に対する組織・社員の認識が足りない日本では、社内教育を徹底し、セキュリティ意識の向上を図る必要があるでしょう。
日本がすべきサイバー攻撃対策
日本が行うべきサイバー攻撃対策とは、どのようなものがあるのでしょうか。具体的に解説します。
サイバーセキュリティ人材の確保
日本においてサイバー攻撃対策の要となるのが、サイバーセキュリティ人材不足の解消です。経済産業省は、「サイバーセキュリティ体制構築・人材確保の手引き」において、以下の方法で人材確保することを提唱しています。
- ・リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換及び育成
- ・IT の管理・運用に関する業務経験を有する人材の配置転換及び育成
- ・セキュリティ対策関連の業務経験を有する人材の中途採用
- ・ セキュリティを専門とする教育機関を修了した人材の新卒採用
- ・兼業や副業で従事する人材の活用
引用:サイバーセキュリティ体制構築・人材確保の手引き|経済産業省
サイバーセキュリティ人材の育成
日本におけるサイバー攻撃対策には、セキュリティ人材の育成が不可欠です。2014年にIPA(情報処理推進機構)により発表された「情報セキュリティ人材の育成に関する基礎調査」によると、約23万人のセキュリティ人材のうち14万人ほどは、なんらかの教育が必要だとしています。政府・民間でもこのような状態をふまえて、人材育成に注力している状況です。将来的には、優秀なセキュリティ人材を多数送り出す学術研究機関の創設が必要でしょう。
参照:「情報セキュリティ人材の育成に関する基礎調査」報告書について|IPA 独立行政法人 情報処理推進機構
経営者の積極的関与
サイバー攻撃対策は、ビジネス全体の利益に直結するため、経営者による積極的関与が必要です。末端の技術者の十分な理解だけでなく、経営者自身もサイバーセキュリティ対策に積極的にかかわり、必要な知識を身に着けていかなくてはなりません。さもなくばトラブルが起こった際に、サービス停止の判断・対策方法など関係者への説明責任を果たせないでしょう。
情報セキュリティ部門だけに任せていると、適切に対応できず、ビジネス存続の危機にもかかわります。サイバー攻撃に対応するには、経営者自身の積極的なかかわりと意識の向上が不可欠です。
最先端のセキュリティ対策
サイバー攻撃の手法・手段は技術の進歩とともに進化し続けています。最新技術を用いた攻撃に対し、従来のセキュリティ対策では太刀打ちできないケースもあるようです。
例えばAIを活用することで、システムのもつ脆弱性を誰でも簡単に見つけ出せるでしょう。また、AIのもつ高度な分析能力を悪用することによって、これまで以上に手の込んだ凶悪なサイバー攻撃が可能になるといわれています。
また、機械学習によってまるで人間のような操作が行えるAIも存在します。各企業では、AIを活用したサイバー攻撃に対抗するため「AIを使ったセキュリティ対策」を実施するとよいでしょう。
最先端のセキュリティ対策には、サイバー攻撃の脅威を総合的に管理する「UTM」がおすすめです。検討の際は以下の記事を参考にしてください。
多層防御の実施
巧妙化するサイバー攻撃に対処するには、複数のセキュリティによる多層防御が必要です。一つのセキュリティだけでは、多様化するサイバー攻撃に対応できません。セキュリティ専門のプロジェクトを立ち上げるなどして、多層構造のセキュリティシステムを構築するとよいでしょう。
多層防御の方法は企業ごとにさまざまありますが、標的型サイバー攻撃に関しては「内部ネットワーク監視」が有効です。内部ネットワーク監視は、社内ネットワークにおける不審な通信の検出に長けており、不正に侵入してくる通信の特定や影響範囲の測定まで可能です。
サイバー攻撃対策をして自社のセキュリティを高めよう!
日本はセキュリティ意識が低く、サイバー攻撃に対応できる人材が不足しています。優秀なセキュリティ人材を確保するには、専門の学術機関を設けるなどの工夫が必要でしょう。また、経営者自身の意識向上・十分な社員教育・多攻撃層防御を実施して、これからの時代に適したサイバー攻撃対策を行ってください。
サイバー攻撃への対策には、サイバー攻撃対策ソフトの導入が不可欠です。以下の記事を参考にぜひご検討ください。
