サイバーセキュリティに求められるバランス感覚
改めて考えたい、サイバーセキュリティの定義
つまりサイバーセキュリティという言葉が使われるときには、人間の経済活動や文化活動を、オンラインであっても安心、安全に保っていこう、という社会的なコンセンサスが暗黙のうちに込められているわけです。これはなにも一握りの専門家が勝手に言っているわけではなくて、国連の専門機関や世界の指導者が集まる世界経済フォーラム等で10年ほど前から議論され、国際的なアジェンダとして採択されている、世界共通の課題なのです。
自社の商売の安心、安全を守るのが、サイバーセキュリティ
専門家に動いてもらうわけですから、当然、お金がかかります。
「サイバーセキュリティが大事なんです」、で上司を説得できない会社は少なくないと思いますが、「我が社のオンラインでの商売の安心、安全がかかっているんです」と言われて重要性が理解できない上司はまずいないと思います。このように適宜、上層部の方が理解できる言葉に置き換えて重要性をアピールすることも大事です。
逆に上層部の方が技術に詳しい場合、おい、標的型攻撃の対策は大丈夫か、うちの会社は CTF (Capture The Flag: セキュリティ解析技術を競うコンテスト)に出なくて大丈夫か、海外のX社のセミナーに行って来たが、あの製品は凄いぞ、といった情報をよく聞かされることでしょう。一定の投資はしているものの、不安になることも多いのではないでしょうか。
サイバー攻撃の91%は人間の脆弱性を突くフィッシング攻撃から始まる
アクセリア社にて展開するオンライン学習コンテンツ crash.academy では、サイバースペースにおける安全性を考える上で、5種類の脆弱性に分類してバランス良く検討をすすめるよう解説しています。
5種類の脆弱性とは、「ソフトウェア脆弱性」「設定の脆弱性」「プロトコル脆弱性」「ハードウェア脆弱性」そして「人間の脆弱性」です。動画より活字のほうがしっくりくる、という方は、サイバーセキュリティと経営戦略研究会著「サイバーセキュリティ」(NTT出版)をご覧いただければと思います。
例えば、「サイバー攻撃の91%は人間の脆弱性を突くフィッシング攻撃から始まる」、というレポートが最近発表されました[1]。このフィッシング攻撃には、日本でいうところの標的型メール攻撃も含まれます。では、御社でセキュリティ対策に投資するときに、人間の脆弱性対策は優先順位の何番目でしょうか。
このように本ブログでは、リスクの種類を見極め、サイバーセキュリティのバランス感覚を養い効果的な対策につなげるためのヒントを今後も発信していきます。お楽しみに。
なお、アクセリアは様々なインフラ技術を駆使し、高い耐故障性と安定した性能を継続して提供することでサイバーセキュリティ水準の向上に貢献しています。crash.academy 「標準サイバーセキュリティ」シリーズでは、国際標準にのっとったサイバーセキュリティの基礎概念を学ぶことができます。
参考文献
[1] “2016 Enterprise Phishing Susceptibility and Resiliency Report”, PhishMe, 2016.
■関連ページ
【アクセリアのセキュリティ関連サービス】
・WAFサービス(Scutum)
・サイバーリスクに備える保険
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service