セキュリティー投資はトップダウンで
9/6に親ロシア派のハクティビスト(政治的・社会的主張を目的とするハッキング活動を行う者)として活動する"Killnet"が、幾つかの日本サイトをDDoS攻撃したとの犯行声明を出したと言われています。e-GOV、eLTAXといった政府系のサイトの他にも、JCB、mixi、東京メトロ、大阪メトロのサイトに同日16時半頃から9/7にかけて閲覧障害が発生しました。自分も東京メトロのサイトを見た際に見慣れないエラーが出ていたので驚きました。
日本の会社のセキュリティー投資は諸外国と比較して低めという調査結果は時々目にしますが、なかなか改善しないようです。注意喚起もさまざまな組織から行われておりますが、最近ではIPAが公開した「情報セキュリティ10大脅威」の「個人編(一般利用者向け)」の簡易説明資料が8月下旬に公開されました。法人の情報システム保護とは視点が違うところもありますが、当たり前に知っておくべき事項でしょう。
https://www.ipa.go.jp/files/000096258.pdf
会社としてどのようにセキュリティーに向き合うべきかに関しては、「サイバーセキュリティー経営ガイドライン」が参考になると思います。
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
一部抜粋しますと「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。」とあります。
セキュリティーに関しては、なかなかROIが説明しにくいところもあり余裕が無いと後回しにされがちですが、経営者が理解した上でリーダーシップを取って動かないと、適切なリスクヘッジが取れないという説明はうなづけます。
ITへの依存度は会社によって異なりますが、適切な規模の対策・教育を施さないと、思わぬ業務停止やデータ漏えいなどの事故の元になります。「うちは大丈夫かな?」という会社は「重要10項目」に照らし合わせてみてください。
