アナリストが示す鉄壁の防御網
巧妙かつ複合的な脅威に対抗するには、単に高性能なセキュリティ製品を導入するだけでは不十分である。
必要なのは「多層防御」というアプローチである。
これは、複数の防御壁を重ね合わせることで、仮に一つの対策が破られても次の対策が脅威を食い止めるという考え方だ。
技術的対策、組織・人的対策、サプライチェーンでの連携、そして社会レベルでの取り組みという4つの防御層を組み合わせた総力戦の体制を提示する。
この重層的なアプローチこそが、進化し続けるマルウェア攻撃に対する唯一の有効な処方箋である。
1)技術的対策:システムの要塞化
まず、基本となるのがサイバー攻撃の侵入を防ぎ、万が一侵入されても被害を最小化するための技術的な防御壁である。
第一に、最新の脅威情報を反映したファイアウォールや、不審なメール・Webサイトからのアクセスをブロックするフィルタリングシステムの導入は基本中の基本である。
同時に、マルウェアが外部と行う不正な通信を検知・遮断する「出口対策」も強化し、情報を外部に持ち出させない仕組みを構築する必要がある。
しかしながら、100%の防御は不可能である。
そこで「侵入はされうるもの」という前提に立ち、侵入後の検知と対応を迅速化することが極めて重要になる。
従来のウイルス対策ソフトに加え、PCやサーバーの不審な挙動を検知・分析するEDR(Endpoint Detection and Response)の導入は、もはや現代のビジネスにおける必須装備といえるであろう。
また、攻撃者はOSやソフトウェアの「脆弱性」という名の綻びを狙ってくる。
使用しているPCやサーバー、ネットワーク機器のソフトウェアを常に最新の状態に保つ「パッチ管理」を徹底することが、最も基本的かつ効果的な防御策の一つである。
そして特にランサムウェア対策において、事業継続の生命線となるのがデータのバックアップである。
ただし、単にバックアップを取るだけでは不十分である。
攻撃者がアクセスできないよう、ネットワークから隔離された場所(オフライン)に保管し、いざという時に本当に元に戻せるかを確認する「復旧訓練」を定期的に実施することが不可欠である。
2)組織・人的対策:防衛文化の醸成
最新のシステムを導入しても、それを使う「人」や「組織」に隙があれば意味がない。
セキュリティはIT部門だけの仕事ではなく、全社で取り組むべき文化として根付かせる必要がある。
何よりも重要なのは、全社員に対するセキュリティ教育の徹底である。
セキュリティ対策はコストではなく、事業継続のための「必要コスト」である。
具体的な教育プログラムを構築し、継続的に運用する仕組みを整備することが、全ての対策の出発点となる。
新入社員研修での基礎教育の必須化、部門別・役職別のカスタマイズ研修、eラーニングによる最新情報の定期配信など、対象者や内容に応じた多層的な教育体制を確立する。
さらに、理解度テストによる習熟度測定や、インシデント事例の社内共有により、実効性を高めることが求められる。
次に、被害が発生した際に誰が何をどのように行うのか、この手順を定めた「インシデント対応計画」を事前に策定し、CSIRT(シーサート)のような専門チームを組織することが重要である。
これによりパニックを防ぎ、被害を最小限に食い止めることができる。
攻撃者にとって最も狙いやすいのは、システムの脆弱性よりも「人の心の隙」である。
実際に偽の攻撃メールを送って対応を訓練する「標的型攻撃メール訓練」などを定期的に実施し、組織全体の「デジタル免疫力」を高めることも効果的である。
3)サプライチェーンでの連携
自社だけを守っても、ビジネスは成り立たない。取引先との連携により、ビジネスエコシステム全体で防御網を築くことが重要である。
セキュリティの強度は「最も弱い部分」に依存する。
これは「チェーンの強度は最も弱い環=リンクで決まる」という原則と同じで、たとえ自社が万全の対策を講じていても、セキュリティ対策が脆弱な取引先を経由して攻撃者が侵入してくる可能性があるということだ。
実際に、取引先の中小企業を踏み台にして大手企業が攻撃を受ける事例が相次いでいる。
したがって、自社だけでなく、重要な取引先や業務委託先にも一定のセキュリティレベルを求め、サプライチェーン全体で脅威に立ち向かう視点が不可欠である。
また、万全の対策を講じても被害に遭う可能性をゼロにすることはできない。
万が一の際の事業停止損失や賠償責任に備え、その経済的ダメージを補填するサイバー保険への加入を検討することも、有効な経営判断の一つである。
4)社会レベルでの取り組み
企業による個別の対策に加えて、社会全体でセキュリティ水準を底上げする仕組みも重要である。
政府や公共機関は、サイバーセキュリティ基本法をはじめとする法整備を進め、企業に一定のセキュリティ対策を義務付けるとともに、違反に対する罰則を設けることで、社会全体の防御レベルの向上を図っている。
また、重要インフラの防護体制の強化や、中小企業向けの支援制度の拡充など、公的な支援体制も整備されつつある。
さらに、業界団体やJPCERT/CC、警察などが発信する最新の脅威情報や脆弱性情報を常に収集し、自社の対策に活かすプロアクティブな姿勢が重要である。
単独で行うのではなく、専門家の知見も積極的に活用すべきである。
一般市民に対しても、学校教育やメディアを通じた啓蒙活動により、基礎的なセキュリティリテラシーの向上が図られるようになってきた。
サイバー攻撃は企業だけの問題ではなく、社会全体で取り組むべき課題であるという認識が広がりつつある。
これらの対策は単独では不完全であり、相互に連携させることでより強い効果を発揮する。
技術的な要塞を築き、全従業員が門番としての意識を持ち、サプライチェーン全体で連携し、社会的な支援体制も活用する。
この「多層防御」の考え方こそが、本章で示す防御網の核心である。
なお、セキュリティ対策は、一度行えば終わりというものではない。
攻撃者の手口が日々進化するように、この多層防御の仕組みもまた、継続的な見直しと改善を続けていかなければならない。
脅威の進化に応じて各層の防御を強化し、新たな防御層を追加していく。
この終わりなき改善と進化の姿勢こそが、見えざる敵から企業の貴重な資産と信頼を守り抜くための唯一の道となる。
(※情報提供、記事執筆:第一生命経済研究所 ライフデザイン研究部 主席研究員 テクノロジーリサーチャー 柏村祐)
