実効性の高い対策とは

とはいえ、サイバー攻撃が沈静化する兆しは見えていない。しかも、個人情報保護法の改定（2017年5月から改定法施行）によって、保有する個人情報が5,000人以下の中小の組織であっても、例外なく、同法による規定が適用されることになった。これにより、あらゆる規模の企業が、個人情報保護法への遵守を求められ、中小の企業は、限りある人的リソースと予算の中で、実効性の高い情報セキュリティ対策を講じるという難題と対峙せざるをえなくなっている。

この難題を解決する、投資対効果（ROI：Return On Investment）の高い一手として、前出のITRが掲げるのは、クラウド型のセキュリティサービスの活用である。ここで言うクラウド型のセキュリティサービスとは、マルウェア感染への誘導を目的にした不正メールの検出や組織内端末の管理・監視などを提供するクラウド型のサービスを指す。この種のサービスを利用することで、以下のようなメリットを得ることが可能になると、ITRは説く。

①情報セキュリティ機器の導入コストや運用管理負荷の低減
②情報セキュリティ管理における専門家のスキル／知見の活用
③膨大な脅威情報と機械学習などを活用した「未知の脅威」の検知力アップ

これらのメリットをまとめて言えば、情報セキュリティに精通した人材が不足している、あるいは不在の組織であっても、脅威の変化に対応した情報セキュリティ対策を講じることが可能になるということだ。

このように、情報セキュリティ対策において外部の力を最大限に活用しようとする動きは、中堅・中小の企業を中心に活発化しつつあり、365日24時間体制でユーザー企業のネットワークを監視し、異常検出時にアラートを発信したり、場合によって、リスク回避の初動をユーザーに代わり取ったりする「マネージドセキュリティサービス」が市場を拡大させつつある。

サイバー攻撃を仕掛けてくる敵はプロの犯罪者であることが多く、防御をかいくぐる技術や人を騙すテクニックに長け、かつ、それらの犯罪技術に日夜磨きをかけている。そうした難敵に対抗していくうえでは、防御のプロの知見／ノウハウを最大限に活用するのは理にかなった方法と言える。

また、一般の企業にとって、情報セキュリティの確保は大切であるものの、ビジネスのコアではない。その意味でも、外部の力を借りるという「他力本願」のアプローチで、情報セキュリティ対策の強化と運用管理負荷の軽減を両立させることが良策と言えるのではないだろうか。