半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ

●情シスやセキュリティ担当者だけの頑張りでは脅威は防げない

　そしてこの問題は、「シャドーIT」なのかもしれないとも思っています。恐らく、ここまでの対策も、情報システム部門やセキュリティ対応部門であれば何とかガバナンスを効かせ、対策が打てるものでしょう。

　しかし、最近では事業部門単位でSaaSを契約したり、利便性を高めたりするために独自のVPNなどをこっそりと立ててしまったりすることも想定しなければなりません。それは「アタックサーフェス」を広げることとなり、情報システム部が考えるガバナンスを、そこにも効かせる必要があります。

　これを正しく検出するには、対応ソリューションの導入など、それなりにお金と時間がかかるでしょう。しかし、それを待つほど攻撃者は甘くありません。そうなると、自分はセキュリティには関係ないと思っている従業員・利用者にも、ある程度この現状を把握しておいてもらう必要があると思っています。

　「ウチに重要な情報などないので、ハッカーが狙うことはない」と思っていた社長は、同業他社が次々とやられていく姿を見ています。報道を見て、もはやセキュリティが経営課題であることを知りはじめています。次は、私たち「従業員」の番です。

　しっかりとセキュリティの現状を把握する……というのは難しいと思いますので、まずは「インターネットにつなぐと、攻撃の対象になる」という認識の下、つなぐ前に適切な場所に相談し、今からやろうとすることが攻撃につながってしまわないかどうか、社内の識者に問い合わせることから始めてください。もはやどんなに小さく、知名度のないシステムも攻撃の対象になる上に、実際の攻撃は時間をずらしてやってくる可能性があり、調査には多くの時間とお金がかかります。

　そうなる前に、知識と知恵で対策を打っておきましょう。それには、あなた自身の協力が必要です。ぜひ、知ることから始めましょう。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。