IT導入支援

会員限定

NEC提供コンテンツ

2017年09月14日

中堅企業に最適なセキュリティ対策とは? 導入・運用コストを抑えながら、セキュリティレベルを高める秘訣

巧妙化・多様化したサイバー攻撃による被害が相次いでいる。特に最近では、標的型攻撃に加えて、身代金を要求するランサムウェアによる攻撃も急増している。たとえば2017年春頃に世界150か国で20万件の被害を出した「WannaCry(ワナクライ)/WannaCrypt(ワナクリプト)」は、日本国内でも大手企業が被害に遭い、業務が停止するという事件が起きたことは記憶に新しい。このような被害は大企業のみならず、中堅企業でも起きており、もはや対岸の火事とは言えない状況だ。とはいえセキュリティ対策には、高コストで導入・運用の手間もかかり、本格的な対策に踏み切れない企業も多いだろう。こうした課題をどのような視点で解消すべきだろうか。


誰もが「ローリスク・ハイリターン」でサイバー攻撃を仕掛けられる時代に

 近年、サイバー攻撃が急増する背景には、攻撃者がサイバー攻撃を仕掛けやすい環境が整ってきたことが挙げられるだろう。2000年代前半頃は、どちらかというと愉快犯による攻撃が主流だったが、最近では、機密情報や個人情報を転売して利益を得るなど、攻撃者にとって、企業が持つ情報は金になる“お宝”という認識が広まり、攻撃自体もビジネス化しているのだ。

 たとえば、サイバー攻撃のブラックマーケットは数千億円以上の規模と言われており、ランサムウェアを含むマルウェアを作成できたり、攻撃の身元を隠蔽したりできるツールなども出回っている。いまや高度な専門知識がなくても「ローリスク・ハイリターン」で攻撃を仕掛けられる状況だ。

photo
(クリックで拡大)

サイバー攻撃のブラックマーケット(闇市場)では、マルウェア作成ツールなどを使ってサイバー犯罪への参入が容易な時代に


 こうした中、自社のセキュリティ対策に危機感を覚える企業も多い。しかし中堅企業では、セキュリティ対策にコストをつぎ込めるケースは稀で、実際はファイアウォールやウイルス対策ソフトの導入など、最低限の対策しか実施できていない企業も多いという。こうした企業の苦しい実情について、NECの下田 仁史氏は見解を述べる。

「もちろん、運用体制やコストの問題も原因に挙げられます。情報システム担当者が少ない企業では、セキュリティソリューションを導入しても、運用を回せていないこともあります。加えて、セキュリティ対策自体を“利益を生まない投資”と考えている経営層もまだまだ多く、理解もなかなか得られないのです」(下田氏)

photo

NEC ビジネスクリエイション本部
第二セキュリティビジネス推進グループ 主任
下田 仁史氏


 とはいえ、ひとたび情報漏えいなどのセキュリティ・インシデントが起きれば、その被害が甚大になることは、過去のニュースをみても明白だ。場合によっては、一度の事故で会社が傾いてしまう危機に陥ることもありえる。そこで、“セキュリティ対策はコストではない”というマインドセットも必要だろう。NECの米谷 信哉氏は、セキュリティ対策を入退場ゲートに例えて説明する。

「たとえば製造業では、工場に入退場ゲートを設置することは通常の考え方かと思います。それを”利益を生まない投資“と考えて実施しない経営者はいないでしょう。本来であれば、サイバーセキュリティ対策も同様の考え方を取るべきものなのです」(米谷氏)

photo

NEC ビジネスクリエイション本部
第一セキュリティビジネス推進グループ シニアエキスパート
米谷 信哉氏


 では、情報システム担当者が少ないとされる中堅企業などでは、具体的にどのようにサイバーセキュリティ対策を進めていけばよいのだろうか?

この記事の続き >>
・「製品を導入したら終わり」ではなく運用が肝心だが、難しい実情も
・導入コストを抑え、運用課題を解消し、セキュリティを強化するクラウドサービス
・NECグループ内の約18万台のPC・サーバの運用で培った「地に足の着いた」ノウハウ

この続きは会員限定です