情報セキュリティ対策にはキリがない！？

もっとも、情報セキュリティに対する投資額や経営層の理解が一定の水準を超えていたとしても、不安を完全に払拭することはできないかもしれない。

例えば、前出のITRのホワイトペーパーを見ると、中堅・中小の企業が過去1年間（2016年12月からの1年間）に経験した情報セキュリティ事故で最も多かったのは「マルウェア※1感染」（全体の23.4％）で、それに「社内ネットワークへの不正アクセス」（同18.9％）、「人為的ミスによる情報漏えい」（同17.7％）が続いている（図3）。

図3：過去1年間に経験したIT（情報）セキュリティインシデント（TOP5）

（出典：ITR 2017年12月調査／『ITR White Paper：中堅・中小企業が実現すべきIT環境～投資対効果の高いセキュリティ対策とは～』／有効回答数1,060件）

このうち「人為的ミス」は、いかに注意を喚起しても、発生を完全に防ぐことは至難だ。また、マルウェア感染も防御が極めて困難になっている。その理由の一つは、マルウェアの感染拡大を狙う攻撃者の手口が、年々巧妙化・多様化しているためである。加えて、マルウェアの新種・亜種の登場のスピードが以前にも増して速くなり、パソコンやスマートフォンなどに侵入したマルウェアが、ウイルス対策ソフトによる検出の網にかからないケースも出始めている。

もちろん、ウイルス対策ソフトは非常に高い確率で、マルウェアを検出することができる。ただし、検出のベースとなるのは、これまでに確認されたマルウェアの情報（＝これは「既知の脅威情報」と呼ばれる）であり、その情報との照合によってマルウェアを検出するのがウイルス対策ソフトの基本的な仕組みとなっている。したがって、既知の脅威情報と照合しても「マルウェアである」と特定できないような新種・亜種（＝これらは、「未知の脅威」と呼ばれる）の場合、ウイルス対策ソフトでは検出できないケースが起こりうる。万が一、ウイルス対策ソフトによるマルウェアの検出漏れが発生した場合、ユーザーは、マルウェア感染に気づかぬまま、自分のパソコンやスマートフォンを会社のネットワークに接続してしまい、結果として、感染を会社全体に拡大させてしまう恐れが強まるのである。

情報の守り手である企業は、このような新たな脅威への対抗策を次から次へと打ち続けなければならない。そのため、企業の間からは、『情報セキュリティ投資にはキリがない』といった不満の声も漏れ聞こえてくる。

※1 マルウェア（Malware）とは、コンピュータ上で不正／悪質な行為を働くプログラム、あるいはプログラムコードの総称。ウイルスと同義に扱われることが多いが、厳密に言えば、ウイルスを含む不正プログラム／不正コードの総称として、マルウェアという用語が使われる。