「テクノロジーインフラに対する攻撃は完全に止めることができない。サイバー攻撃は日々発生しており、どこかで誰かが常に狙われているのが現状だ。こうした攻撃に備え、脅威の現状を把握して事前に対策を立てておくことが重要だ」。米FireEye バイスプレジデント 兼 最高技術責任者のTony Cole氏は10月29日、ファイア・アイが開催したセキュリティ侵害の対策に関する記者説明会にてこのように述べた。

Cole氏によると、セキュリティ侵害が発生してから組織がその侵入を発見するまでの平均日数は、世界平均で205日。つまり、侵入されても気づかない期間が半年以上も続くということだ。また、セキュリティ侵害の事実を知った経緯のうち、69％は警察や政府など外部機関による指摘によるものだという。しかも、侵害が発覚してから対応するまでの日数は平均32日。その一方で、侵入してからデータが外部に送信されるまでの最短時間は7分で、「205日もあればどれほどのことができるかを考えると恐ろしい」とCole氏は話す。

侵入に気づかない期間が世界平均で205日という数字だけでも脅威だが、さらに恐ろしいのは、日本においてはその期間が平均900日にものぼることだ。「セキュリティ侵害を受けた企業は、どの企業もしっかりしたサイバーインフラを構築しており、シグネチャやパッチも最新のものにしている。それでも侵害は起こってしまう」とCole氏。また、侵害が発生すると、その損失は約3億円にものぼると指摘した。

Cole氏は、同社の顧客の現状から、日本市場について「2015年上半期に標的型攻撃のターゲットとなった顧客は、5社のうち1社にまでのぼる。標的型攻撃が原因でC&Cサーバーへの通信が行われた回数は、アジア圏の中で日本が2位、不正アクセスまたはマルウェアのダウンロード数も同2位となっている」と述べ、日本国内で脅威に対する認識をより高めるべきだとした。

かなりのコストをかけて対策を施している企業でさえ攻撃されてしまうのが、サイバーセキュリティの現状である。そこでCole氏は、「インフラに投資するだけでなく、人や組織そのものにも投資するべき。インシデントレスポンスに対応できるセキュリティ専門家と契約したり、セキュリティ侵害が起こったときにどうすべきか事前に検討したりといった準備が重要」と話す。侵入してからの潜在期間が平均200日以上という事実を考えると、「敵はすでに侵入しているかもしれない。何か起こってから専門家を探すのではなく、現時点で侵入されていないかどうかの調査も含め、早い段階で専門家と契約した方がよい」とした。

侵害に備えるにあたっては、「対応策を何か準備しているか、どの程度のコストがかかると想定しているか、法務部門や経営層を巻き込んでいるかといった問いにちゃんと答えられるようにすべきだ」とCole氏。コストについては、インシデントレスポンスやコールセンターの設置といった費用はもちろん、訴訟費用、和解に必要な費用、法規制上の罰金なども想定しなくてはならない。また、市場での評価や売上へのインパクトなど、すぐには試算できないコストもかかわってくる。英国の通信会社TalkTalkでは、先週発生したセキュリティ侵害に関するニュースによって、時価総額が5分の1にまで下落したという。その犯人は15歳の少年だったというが、「国家組織が背後についているような犯罪であれば、さらに被害は大きかっただろう」とCole氏は述べている。

セキュリティ対策はIT部門の仕事だと考えられがちだが、「経営陣を巻き込むことは重要。セキュリティ侵害によって辞任に追いやられた経営陣が多数存在することを思えば、経営陣も事の重要さを理解できるはずだ」とCole氏は述べた。