予防策にのみ頼ってはいけない：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[岡田靖，ITmedia]

　標的型攻撃は、メールなどから不正に侵入してツールを仕込み、組織内の端末を外部から遠隔操作、組織内のさまざまな情報を収集して外部サーバへと持ち出していく攻撃だ。手法そのものは以前からあったが、『誰が誰を狙うのか』が変わってきていると氏は指摘する。

　「国家関連機関の仕業ではないかと考えている。その狙いは何か。もし私だったら、相手の不祥事を探すだろう。国や組織の信頼を損ねるような情報がないかどうかだ。有益なのは国家機密や防衛機密などの重要情報ばかりではない。ありとあらゆる内部情報を筒抜けにすれば、ビッグデータとして利用する価値がある。そして情報をいつでも取り出せるような基盤を構築・維持し、別の部署や拠点、さらに交流ある組織などに対して拡張に務める。実際、彼らはそうした基盤の運用管理を日常的に行っており、たまにその運用をミスして、発覚に至ったりもしている」（西本氏）

「自社でも起きる」という意識を

　こうした情報収集基盤として目的を考えると、さまざまな取引関係の繋がりなどを辿って、「まさかウチが」と思っているような企業に対しても標的型攻撃が行われる可能性は充分にあるといえよう。

　「自分のところに火の粉が降ってくる可能性は常に考えるべき。そういう想像力を持たないといけない。『事件は起きるもの』『既に事件は起きている』とした対策になっているかどうか」と西本氏は言う。

　「事件は起きている」となれば、予防策だけでは足りない。ところが、OSやアプリケーションのセキュリティパッチ、あるいはウイルス対策といった、いわゆる「セキュリティ対策」とは、実は侵入を防ぐための入口対策でしかない。侵入されてしまったら、予防策ではなく、ダメージを軽減する防御策が必要となる。

　「もし侵入者を発見したら、従来通りのセキュリティ対策などやっていてはいけない。守るべきものを見極めて、侵入した内通者の出口を封鎖、もしくは厳重警備をし、敵を洗い出さなければならない。封鎖すると内通者は暴れるので発見しやすくなるから、たまに訓練を兼ねてやるといい」（西本氏）

　また、予防策につきものの「正論」のコントロールも重要だと指摘する。「侵入しようとする敵がいるとしても、入ってこさせなければリスクはゼロ。安全だ」といった意見は、確かに正論であるしキレイな策に見え、同調者を得やすい。しかし予防策を徹底しようとすれば費用や管理の負担は膨大なものとなる一方、防御や抑止策への意識が薄れてしまい、そこに隙が生じる。正論は、ほどほどにしておいた方が得策なのだ。

　「自社にとって何が大切なのか、何を守るべきなのか、それを常に再確認しておく必要がある。そして、競争力や成長力、収益性向上に繋がらないような投資はしないこと」（西本氏）