マイクロソフト・トゥディ 第174回

セキュリティはもはや経営の問題- 9割の企業に未知の脅威が侵入済み

セキュリティは経営の問題

セキュリティは、ITの問題でもなく、
テクノロジーの問題でもなく、経営の問題

　日本マイクロソフトの平野拓也社長は、「セキュリティは、ITの問題でもなく、テクノロジーの問題でもなく、経営の問題である」と指摘する。

　サイバー攻撃への対応や情報漏洩の問題などは、経営の根幹を揺るがす問題となったり、金銭面でも大きな被害を被る問題となったりしているからだ。

　調査データによると、サイバー攻撃による年間被害額は全世界で360兆円にものぼると言われ、データ侵害に対する平均的なコストは4億2000万円に達しているという。そして、日本の政府機関への不正アクセスは約508万件にのぼるという。

サイバー攻撃の現状

　だが、セキュリティ対策を推進している経営幹部がいる企業は、グローバルでは59%であるのに対して、日本では27%に留まる。また、サイバー攻撃への対処について取締役レベルが議論すべきだという意識が、海外に比べて日本では低いのが実態だ。

セキュリティ対策、サイバー攻撃への対処に関する海外比較

　「日本におけるサイバーセキュリティに対する意識は高まっているものの、サイバー攻撃は国境を超えたものであり、海外だけものではない。グローバルの企業と同じような考え方が必要である」と、平野社長は警告を鳴らす。

　平野社長は、「マイクロソフトはITベンダーの1社ではあるが、セキュリティ対策に長けた会社のひとつとしても見てほしい」とも語る。

　実は、マイクロソフトは、米国防総省に次いでサイバー攻撃を受けている組織である。

　「それによって、セキュリティに対する多くのノウハウを蓄積している。7社の外部コンサルティング会社と連携することで、内部からの分析だけでなく、外部からも多面的に検証している」とする。

　現在マイクロソフトでは、約100カ国で約15万人の社員が約60万台のデバイスを利用しているという。

　2014年7月～12月においては、マイクロソフト社内において80万件のマルウェアをリアルタイムで検知。1台あたりの検出は年2.6回。その後の定期スキャンで発見したのは143件。感染したマルウェアの数は、年間2100台に1個ということになる。

マイクロソフトにおけるマルウェア

　年間80万件のマルウェアの検知という数や、最高のセキュリティ対策を施していても、これだけの数のマルウェアに感染しているのである。

検知数が0という企業は、本当に大丈夫なのか

　だが、日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、ユニークな見方をする。

　「マイクロソフトにおいては、最新のリアルタイム検知適用率が99.85%となっている。ここまで高い企業は少ない」と前置きしながら、「しっかりと対策しているからこそ、マルウェアによる脅威やサイバー攻撃を数多く検知できる。いわば、検知数が多いことは、セキュリティ対策がしっかりしていることの証。企業の経営者と話をしていて、『うちはマルウェアの検知数が0ですから安心です』といっている企業は、しっかりと検知できる仕組みを導入しているのかどうか、むしろ疑問。私は、『本当に大丈夫なのか』と内心思っている」と語る。

　調査データによると、企業の7割がセキュリティ事故を経験しているという結果が出ている一方で、すでに企業の9割に未知の脅威が侵入済みであるという驚くべきデータもある。そして、侵入から発見されるまでの期間は、242日だという。かなりの期間潜伏したあとに動き出すのが最近のマルウェアの特徴だ。

　高橋チーフセキュリティアドバイザーは、「すでに9割の企業に未知の脅威が侵入しているという結果は大げさに見えるかもしれないが、私の実感からいえば、もっと多い」とも語る。

　サイバー攻撃やセキュリティに対する認識は変えた方が良さそうだ。

ASCII倶楽部