実戦的サイバーセキュリティ

先日、中小企業の情報セキュリティ対策について、規模の小さい企業ほど情報セキュリティ対策への取り組みが不足している状況があることを取り上げました。

ただ、情報漏洩・流出などの報道がなくなることがないことを考えると、いかに大企業と言えども万全のセキュリティ対策を施されているかといえば、そうとも言い切れない現状があるように思えます。公官庁も然りです。
サイバーセキュリティについては、対策を施してはまた新たな手口が見つかるといった、「いたちごっこ」です。
これで万全ということは、ないのかもしれません。

サイバー攻撃については、すぐそこにある危機と認識しつつも、実際の防衛手段としてどのような対応をとればよいのかわからないといったこともあるのではないでしょうか。

そのような日本に急接近している企業の１つとして、イスラエルのサイバー企業があるようです。
売りは、「実戦的な対策」ということのようです。

イスラエルといえば、詳しいことは分からなくとも、周辺国との戦火が絶えない国という認識を持つ人も多いのではないでしょうか。事実現在でも「戦争状態」が続いています。
また、IT技術の高い国としても有名です。

「実戦的な対策」というのも、技術者の多くがイスラエル軍のサイバー部隊の出身者という裏づけがあるようです。
軍隊といえば訓練が日常の業務の1つですが、サイバー攻撃についても訓練を行われていたのは、容易に想像できます。
そこで得たノウハウを民間企業で生かしているようです。

実社会と同様の環境の模型をつくり、その上でサイバー攻撃を行いその対応を訓練するといったようなことが行われています。
模型をつくることで、実際にサイバー攻撃を受けたときにどのような被害が生じるのか、まさしく目で見てわかるのではないでしょうか。これが実社会で起こったらと、青ざめてしまうこともありそうです。

このようなサイバー攻撃に対して最前線で対峙していた人たちが言うには、サイバー攻撃の世界では、侵入側の成功率は100%なのだそうです。
よって、システムに侵入された後、実害が出るまでにどのような対応がとれるかというのが、最前線のサイバーセキュリティ対策のようです。

経済産業省からも、サイバーセキュリティ対策を推進するため、「サイバーセキュリティ経営ガイドライン」が2015年に策定され、2016年に最新版が公開されています。

その中に、「経営者が認識する必要がある3原則」というものが掲げられていますが、一番に掲げられている内容は、「セキュリティ投資は必要不可欠かつ経営者の責務」とされています。

もはや、事業運営において生じる仕入れや給与と同じように、当然に発生するコスト。として認識する必要があるとされています。