あらゆるモノがインターネットにつながるIoTで生活が便利になる半面、サイバー犯罪などに遭う危険性が高まっている。ネットにつながる以上、もはやゼロリスクはあり得ない。企業や自治体は本腰を入れて対策に当たらねばならないし、スマホが普及した個人についても知識の底上げを図らねばならない。3月18日まで「サイバーセキュリティ月間」。

 月間行事の一環で今月中旬、佐賀市でシンポジウムがあった。サイバー攻撃の脅威が人ごとではないとの危機意識の高まりか、大勢の聴衆が集まった。

 中小企業向けだったこのシンポでは、登壇者から「ウチみたいな小さなところは狙われない」と経営者が高をくくったり、「ネットの事故は交通事故と違い肉体的痛みを伴わないので重大さが分からない」といった反応が以前は見られていたが、真剣に取り組むところが増えていると報告された。

 実際、最近のサイバー犯罪は、大企業と取引がある企業を経由して侵入を試みる手口が横行するなど、中小企業が狙われやすい傾向も指摘されている。

 一方、シンポでは、ネット関連は専門用語が多すぎたり、新しい言葉が次々と生まれたり、加えてその言葉が横文字ばかりで分かりにくい、との悩みも報告された。

 サイバー攻撃では「攻撃側」が「防御側」より、その技術レベルなどにおいて圧倒的に強いとされる。そもそも攻撃側は経済的目的や主義主張を通すために強い意志を持つが、防御側には油断も含め高い目的意識は育っていない。

 実際、中小企業において、サイバーセキュリティーに関しては総務部などで兼務しているケースがほとんどではないだろうか。中にはサイバー対策の専門家を雇っている企業もあるだろうが、まだまだ少数派だろうし、経営的にも普及するとも思えない。

 企業内のサイバーセキュリティーにおいては、1人のスーパーエンジニアに頼るより、各部門にネットに詳しい人を配置し、チームで対応するやり方がある。「CSIRT(シーサート)」だ。Computer Security Incident Response Teamの頭文字で「コンピューターセキュリティー事故に対応するチーム」を意味する。

 CSIRTはシステムの脆弱(ぜいじゃく)性や攻撃予兆がないかどうかを監視し未然防止に努める。いざ事故が起こった場合には記録を収集・分析して対応を策定する。何より効果的なのは、チームを作ることにより他企業・組織とも連携し、日ごろの情報交換など通じて有機的につながることができる点だ。

 佐賀県内でも今月、県や県警など6団体が、サイバー犯罪対策を中小企業で推進する協力協定を結んだ。県地域産業支援センターに電話の相談窓口を設ける一方、県警が把握した情報漏えいなどの被害情報を団体間で共有し、社員らのセキュリティー意識の向上を促す目的だ。

 一つ一つは小さい「個」でも集まって「組織」となれば、強い攻撃側にも対抗できる。中小企業にとってはまさに理にかなった対応策で、県内でもこの組織が立ち上がったのは心強い。最新の知見を共有し、脅威に対抗する有機体として機能することを期待する。(森本貴彦)

このエントリーをはてなブックマークに追加