従業員のPCがウイルスに感染し、外部からの遠隔操作により情報を盗み出されてしまう。このような攻撃から大切な情報資産を守るために、企業はどのような対策を講じればよいのでしょうか。

　ここでは、サイバー攻撃が激化する中で企業が検討すべきリスクマネジメントについて、NTTコミュニケーションズ株式会社マネージドセキュリティサービス推進室長の与沢和紀氏にお話を伺いました。

もはやサイバー攻撃を万全に防ぐことは不可能

　個人情報の漏えい防止やサイバー攻撃からの機密情報の保護は、多くの企業に共通する課題です。企業ごとにさまざまなセキュリティ対策が講じられていますが、現状では大規模な情報漏えいがたびたび発生しているほか、標的型攻撃メールなどによる被害を受ける企業も少なくありません。実際、アメリカの戦略国際問題研究所（CSIS／Center for Strategic and International Studies）によれば、サイバー犯罪による全世界の想定被害額は30兆円から100兆円で、GDPに対する割合は0.4％～1.4％に達するとしています。

　このようなサイバー攻撃に対して、企業はどのように向き合うべきでしょうか。NTTコミュニケーションズ株式会社マネージドセキュリティサービス推進室長の与沢和紀氏は、そもそも「万全な『サイバーセキュリティ対策』は幻である」と説明します。

　「企業は万全なサイバーセキュリティ対策は幻であると再認識しなければなりません。攻撃者に時間と労力があればシステムに侵入することは可能であり、セキュリティ対策はその邪魔をすることはできても、100％防ぐことはできないのです。ですから侵入されることを前提として、迅速に攻撃を検知し防御することが重要になります」

　与沢氏はこのように指摘した上で、まずは正しくリスクを認識した上で対策を練らなければならないと説明を続けます。… 続きを読む