事態が緊迫する中で、中堅・中小企業のセキュリティ対策は十分ではないというデータもあります。その1つとして、大水氏は、IPAが公開した「2016年中小企業における情報セキュリティ対策の実態調査」というレポートを紹介しました。

情報セキュリティ対策の状況

「これを見ると、ウイルス対策ソフトは多くの企業で導入されています。一方そこで止まっている企業も多いことが分かります。例えば、危険なWebサイトへのアクセスを遮断するWebフィルタリング、あるいはマルウェア感染の防止にも役立つメールフィルタリングなどはあまり導入されていません。そのため、ランサムウェアが外部から送られてきても、それを防ぐことができずに被害を受けることも考えられます」

Webフィルタリングの有効性

メールフィルタリングの有効性

　確かにウイルス対策ソフトの導入は、セキュリティ対策において重要であるのは間違いありません。しかし、それだけではセキュリティ対策として十分ではなくなっています。

「私たちソフォスでは、新種と亜種を含めて1日におよそ約40万種のマルウェアを発見しています。ただ、そのうちの約75％は特定の企業でしか発見されないのです。つまり約3/4のマルウェアは、特定企業のみをターゲットに作られているというわけです」（佐々木氏）

　そもそもウイルス対策ソフトは、マルウェアの情報をシグネチャなどと呼ばれるデータベースに記録し、その内容と検査対象となるファイルを比較してマルウェアであるかどうかを判断します。ただ新種のマルウェアの情報はシグネチャに登録されていないため、この方法では検知することができません。日々これだけ新種のマルウェアが登場し、さらにその多くが特定の企業への攻撃にしか使われない状況では、このようなシグネチャベースでの対策は限界があると言えるでしょう。