お問い合わせ

03-5677-3930初診受付

ブログ

2016年8月11日

8037: 日本人はネットセキュリティ意識が低すぎる:記事紹介

日本人はネットセキュリティ意識が低すぎる 情報を盗まれっぱなしという恐ろしい現実:
岩井 博樹: 記事紹介  東洋経済オンライン
(出典)
清澤のコメント:長大な記事の要点です。要は日本企業もサイバー攻撃に対抗するプロを雇う意識が必要ということのようです。
  ----
◎日本人のセキュリティ意識は低い。プライバシー保護における無関心さが際立つ。同様の空気感はメディア上でも感じられる。

 日本企業のセキュリティ体制の問題は、CISOの候補者を企業内で育成するとしていること。プロのCISOとは、自身のノウハウを駆使して情報セキュリティに取組み、改善できた段階で他の組織を渡り歩くような人物。

◎起きているのは「ネットワークへの強盗」

 サイバー攻撃被害は欧州や米国の記事では、悪いのは犯罪者らであるといったニュアンス。米国の場合は、サイバー空間を陸海空と宇宙に続く「第5の戦場」と表現し、国防の側面を持つ。欧州の場合はテロ対策の延長上として捉える。

 サイバー攻撃被害における機微情報は「流出した」のではなく、「盗まれた」のだ。情報の窃取は、強奪行為。

 欧州の法執行機関では、サイバー犯罪は手段のひとつでしかなく、あくまで物理的脅威の一部として捉える。日本では物理的脅威と直接紐付けない。これが、欧米と日本のサイバーセキュリティ意識の差に繋がる。

○サイバー攻撃の主役はウイルスではない

 コンピュータウイルスが起動すると、勝手に意図しない動作を行う。コンピュータウイルスに感染して情報が流出したという説明では、主役がプログラム(非人間)であることになってしまう。サイバー攻撃は犯罪グループが目的を達成するための手段。重要なのは、背後にある人間の意図をプロファイリングすること。

 現実に実在する「人間」が悪意あるプログラムを利用することで、デジタル化された資産や金銭データを狙う。それを明確に意識しなければ、有効な対策を打ちようもない。

 今起きている問題は「窃盗行為」なのだが、「攻撃者像」を明確にするよりは、データが流出したことにした方が都合が良い、と考える組織が多い。不運という認識にとどまる。

 「サイバーインテリジェンス」というサービスには攻撃者像をプロファイリングするものもある。

○「報告しなければバレない」わけではない

 攻撃者像を特定することではじめて対策もできる。専門家は被害企業を特定している。報告しなければバレない時代は終わっている。

 サイバー攻撃を未然に防ぐことは不可能で、「事後対策」が重要。「あの会社は頻繁に襲われているのに対策を立てていない。危ない会社だ」という悪評が広がらぬよう、経営層は対策を考える時代に来ている。

Categorised in: 未分類