ITシステムが会社の血液のように流れる現代において、あなたはサイバー攻撃を「自分には関係ない遠い世界の出来事」だと思っていませんか。でも実は、サイバー攻撃は驚くほど日常生活の身近なところに潜んでいます。経営層として部下を守り、会社を守るためには、まず敵の正体を知ることが第一歩です。淵上真一氏の『経営層のためのサイバーセキュリティ実践入門』は、そんな経営層の不安に応える一冊です。
サイバー攻撃って何となく分かるようで分からない
サイバー攻撃と聞いて、どんなイメージを持ちますか。Webサイトに侵入して画像を張り替えるとか、暴走族が夜露死苦みたいな落書きをするとか、お子様がアンダーグラウンドサイトで公開されているクラッキングツールを実行するだけのスクリプトキディといった意味不明な専門用語を思い浮かべる方もいるでしょう。
確かに以前はそういったイメージが強かったかもしれません。しかし現代のサイバー攻撃は、もっと洗練され、ビジネス化しています。RaaS(ランサムウェア・アズ・ア・サービス)やPaaS、Phishing as a Service、DDoSやDaaS(DoS as a Service)といったサービスまで登場しているのです。
つまり、サイバー攻撃は一部の天才ハッカーだけのものではなく、お金を払えば誰でも攻撃できる時代になっているということです。
サイバー攻撃は私たちの生活のどこに関係があるのか
本書では、サイバー攻撃が私たちの日常生活とどう関わっているのかを、具体的な事例を通して教えてくれます。日常生活でよくある事例やたとえ話を通して、セキュリティの重要性を具体的にイメージしながら楽しく学べるのです。
建物の管理を例にとってみましょう。正面玄関に守衛が立っていて不適者の侵入を防ぐのが境界防御です。フロアごと、部屋ごとに入退室の管理を行って状態がゼロトラストです。エリアに出入りできる社員のレベルを細かく分け、誰がいつ立ち入ったかを把握するわけです。
この説明を聞けば、セキュリティの専門知識がなくても、ゼロトラストという考え方が理解できるはずです。外部と内部の区切りがあいまいになると境界防御だけではセキュリティを守れなくなる、という現実が見えてきます。
サイバー攻撃の目的って何なのか
攻撃者はどうやってターゲットを選ぶのでしょうか。個人情報が漏れたらどうなってしまうのでしょうか。SNSの投稿一つとっても、実は危険が潜んでいます。
本書では、前者が年間数億円、後者が年間数十億円といった企業だった事例が紹介されています。いずれも外部からの不正アクセスによって顧客名、メールアドレスなどの個人情報が漏洩しました。サプライ用品通販サイトではクレジットカード番号、セキュリティコードなどの情報も流出しました。
数年前の事件であり、両社とも現在は無事に運営されていますが、当時は大変な状況に追い込まれたことだろうと想像できます。こうした事例は決して他人事ではありません。中小企業だから狙われないという保証はどこにもないのです。
攻撃の手口は日々進化している
サイバー攻撃の手口も年々巧妙化しています。昔のような単純な迷惑メールではなく、標的型攻撃と呼ばれる高度な攻撃手法が主流になっています。
特に注目すべきは、AI(人工知能)の活用が当たり前になってきた現在、AIを使った攻撃も増加すると予想されています。ChatGPTなどのAIツールは、攻撃者にとっても便利な道具になるのです。
また、2024年にはRaaSといったビジネスモデルが確立され、専門知識がなくても攻撃できる環境が整っています。つまり、攻撃のハードルが下がり続けているということです。
日常のちょっとした行動が大きなリスクに
本書を読んで驚いたのは、私たちの何気ない行動がセキュリティリスクにつながるという指摘です。例えば、ITシステムに対する過度な信頼も危険です。
在宅勤務が増え、SNSで仕事の様子を投稿する人も増えました。しかし、そこから会社の機密情報が漏れる可能性があります。プライバシーを確保しなければならないという考え方は、建物の管理でいえば、正面玄関に守衛が立っていて不適者の侵入を防ぐのと同じです。
また、ネットワークの仕組みを理解することも重要です。本書では、OSI参照モデル、IP、TCP、UDPなど、基本的な概念が平易な文章と豊富な図版を用いて解説されています。こうした基礎知識があれば、部下やシステム管理者との会話もスムーズになるでしょう。
経営層が今すぐ取り組むべきこと
サイバーセキュリティ対策は削減したいコストではなく、事業を拡大するために必要不可欠な投資だと考える必要があります。経営戦略指針としてのIPA(情報処理推進機構)の『サイバーセキュリティ経営ガイドライン』を取り上げ、経営層が認識すべき3原則、サイバーセキュリティ経営の重要10項目を認識しています。
ここでセキュリティ対策は削減したいコストではなく、事業を拡大するために必要不可欠な投資だと考えるように、経営層に意識改革を訴えています。
本書の著者である淵上真一氏は、NECのサイバーセキュリティ戦略統括部長を務める淵上真一氏が中心となり、NECのサイバーセキュリティ担当者14人が共同執筆しています。国家安全保障レベルから官公庁、民間企業のセキュリティ担当、セキュリティ研究者、セキュリティ製品開発担当、DX推進担当、マーケティング担当など実務経験豊富な選りすぐりのチームです。
まとめ:知ることから始める経営層の責任
サイバー攻撃は遠い世界の話ではありません。私たちの日常生活のすぐそばに潜んでいます。経営層として、部下を守り、会社を守り、顧客を守るためには、まず敵の正体を知ることが大切です。
本書は、専門知識がない経営層でも理解できるように、平易な文章と豊富な図版で解説されています。難しい専門用語も、日常生活の例えを使って分かりやすく説明されているので、ITに詳しくない方でも安心して読み進められます。
セキュリティ対策を後回しにすることは、会社の未来を危険にさらすことと同じです。今日からできることを一つずつ実践していきましょう。この本は、その第一歩を踏み出すための羅針盤となってくれるはずです。
コメント