サイバー攻撃の被害が世界中で後を絶たない。数年前とはまるで様相の異なる、先鋭化した攻撃の実態が、長年適用されてきた情報セキュリティ分野の常識への再考を我々に強く促している。この先、企業は自社の情報セキュリティをどのようなスタンスでとらえたらよいのだろうか。
情報セキュリティは長らく、組織や個人の重要な情報に対して行われる窃盗・漏洩・破壊などの行為を、いかにして「防ぐ」のかを研究し実践する分野だった。システムやデータを守るために何らかの防御を施すことは、コンピュータやネットワークを活用するうえでの前提、常識だとされてきた。組織のための情報セキュリティマネジメントを学んだ者であれば、3原則とされる「情報のCIA(Confidentiality, Integrity, Availability:機密性・完全性・可用性)」に照らして、データやシステム、アプリケーションなどの情報資産を狙う攻撃を水際で食い止めるアプローチを最重視してきたことだろう。
これまでの常識が常識でなくなる
しかしながら今、これまでの情報セキュリティの常識が常識でなくなりつつある。近年メディアを賑わした数々の大規模なサイバー攻撃/セキュリティ侵害事件での手法を見ると、攻撃を受けた企業・組織のすべてが、システムやネットワークの防御に致命的な抜けがあったわけではない。むしろ、報道されているような大手企業や政府機関は防御に多額のコストを投じて高いセキュリティレベルを保ってきたところばかりだ。それにもかかわらず、あっさりゲートを突破され、被害に遭っているというのが現実である。
ITの進展がサイバー攻撃に与えた影響
有名Webサイトを相次ぎダウンさせたDoS/DDoS(Denial of Service/Distributed DoS)攻撃が話題になったのは2000年代初頭のことだ。その後、サイバー攻撃はインターネットの世界的な普及と共に攻撃のバリエーションを広げながら高度化・先鋭化していった。
当初のサイバー攻撃はハッキングの腕前を世間に誇示したい個人やその仲間による愉快犯が大半だった。ところが近年では、世界的な不況や一部地域の政情不安などを背景に、さまざまな攻撃主体/目的のパターンが現れるようになった。現在、最も多いのが組織化された犯罪集団による金銭窃取を目的とした攻撃で、米ベライゾン・コミュニケーションズが2013年5月に公開したサイバー攻撃の実態に関する報告書によれば、サイバー攻撃全体の55%が犯罪組織によるものとされる。また、世界に向けて主義信条を主張するための攻撃や、究極には国家間戦争における兵器として、敵国の官公庁や軍事施設など重要インフラを襲う「サイバー戦争」と推定されるものまである。
そして、この10年でのITの急激な進展がサイバー攻撃の猛威をさらに加速させた。政府や企業などが組織を運営していくにあたって、ITが年々重要性を増して不可欠な存在となっていった。組織内に蓄積される膨大な情報やデータはまさに経営の生命線そのものと言え、それらが、企業を脅し金銭の窃取を企てる犯罪集団にどう映るかは明白だ。
「守る」ことに専念すればよかったのは過去の話。これまでの情報セキュリティの常識が常識でなくなりつつある会員登録(無料)が必要です
- 1
- 2
- 次へ >
