情報セキュリティアドミニストレータが考えるサイバーセキュリティ対策について

先日、企業のセキュリティ対策について、次の記事を書きました。
情報セキュリティアドミニストレータが考える企業のセキュリティ対策について
この記事について、数名の方からお問い合わせに意見をいただきました。「サイバーセキュリティ対策を軽視してはならない」などです。

私は、サイバーセキュリティ対策を軽視しているわけではないです。なぜなら、情報処理推進機構の公開資料によると、近年サイバー攻撃が急増しているからです。

ということで、今回はサイバーセキュリティ対策について、情報セキュリティアドミニストレータの私が思うことをブログします。

利便性とセキュリティはトレードオフ

情報処理推進機構が毎年公開している「セキュリティ10大脅威」では、昨年よりIoTがランクインしています。

IoTは「Internet of Things」の略語で、インターネットに様々なモノ(物)が繋がるという意味です。家電や住宅設備および自動車などがインターネットに繋がり自律的に動きます。この目的は、企業活動を高度化し、国民生活を便利にすることです。

しかし、IoTがサイバー攻撃されると極めて危険です。サイバー空間だけでなく、現実社会の脅威になるためです。例えば、IoTによりインターネットに繋がった自動車がサイバー攻撃されると、人の命にかかわる事故となります。

また、人工知能(AI)による企業活動の重要な意思決定や、高度専門職の機械化なども活況です。しかし、IoTと同じで、インターネットに繋がることにより、サイバー攻撃されると、現実社会の脅威になります。

今後、IoTや人工知能(AI)は、企業活動や国民生活に不可欠な技術となっていくことが予想されます。この場合、サイバー攻撃のリスクを国民と企業が共有した上で、これら新技術の利便性とセキュリティのトレードオフを考える必要があります。

サイバーセキュリティ対策に完全はない

サイバー攻撃の舞台はインターネットです。インターネットは研究所のコミュニティから発展しました。前提が顔見知り同士のネットワークであったことから、その基本的な仕組みは、そもそもサイバーセキュリティを考慮したものではありません。

このため、インターネットに繋がるシステムやネットワークは、サイバーセキュリティ対策を行うことが必須となります。しかし、前述のとおり、その仕組みはセキュリティを考慮していないため、サイバー攻撃への対策を完全にすることはできません。

数千人のサイバーセキュリティ部隊を擁するアメリカ国防総省ですら、サイバー攻撃によりハッキング被害を受けています。このことは、サイバー攻撃への対策に完全はないことを示してます。

サイバーセキュリティ対策のありかた

サイバーセキュリティ対策は「利便性とセキュリティはトレードオフ」「サイバーセキュリティ対策に完全はない」を念頭に考える必要があるといえます。

個人の場合は、インターネットで提供されるサービスが、自分の生活に必要であるかを、サイバー攻撃のリスクから判断することが重要と考えます。例えば、オンラインショッピングで買い物をするときに、オンライン決済サービスを利用せずに、着払いにするなどです。

企業の場合は、インターネットで提供するサービスが、サイバー攻撃のリスクを考慮しても、自社や顧客にメリットがあるかを判断することが重要と考えます。例えば、公開サーバに顧客情報を保存する場合、クレジット情報が必要なオンライン決済サービスは提供しないなどです。

オンライン決済サービスの技術的な対策として、成りすましはユーザ認証、盗聴は通信暗号化などがあります。また、公開サーバへの不正アクセスに対しては、DMZによるネットワークの論理的な分離などを行います。

しかし、これら技術的な対策は、サイバー攻撃に対して完全ではありません。

あとがき

サイバーセキュリティ対策というと、ホワイトハッカーなどによる高度な技術論になりがちです。しかし、繰り返しますが「利便性とセキュリティはトレードオフ」「サイバーセキュリティ対策に完全はない」といえます。

今後、IoTや人工知能(AI)などの新技術を利用したサービスが増えてくることが予想されます。そして、これらサービスにおける、サイバー攻撃のリスクは情報漏えいでは済まないかもしれません。

このため、個人や企業が「そのサービスが本当に必要か?」という視点で、サービスの提供や利用を判断することが、今以上に重要になるといえます。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Copy Protected by Chetan's WP-Copyprotect.