家に鍵をかけよう!
<CISOの設置企業は半数以下>
野村総合研究所の子会社は、サイバーセキュリティを統括する最高情報セキュリティ責任者(CISO)を設置している日本企業が4割に留まるとする調査結果を発表しました。調査は2022年7月から9月に、日米豪の計2900社を対象に実施しました。CISOの設置企業は日本で39.4%だったのに対し、アメリカは96.2%、オーストラリアは96%でした。日本は社員数1万人以上の企業に絞っても65.3%にとどまっており、1000人以上で47%、1000人未満では35%でした。人材の充足度について『不足している』と回答したのは、日本で9割に上りました。
IPAが2022年6月に日米の企業に実施したアンケート調査によると、IT分野に見識のある役員が3割以上いる日本企業は27%にとどまり、アメリカの61%と大きな差がありました。
<ハッカーから狙い目の日本>
システムに弱点があればハッカーが侵入する穴となるため早期に修復する必要がありますが、日本は対応が遅いです。米パッドパケッツによると、米Pulse Secure VPNの脆弱性が2019年8月に公表されてから一週間後に修復された割合は、ドイツ49%、米国31%に対し日本は9%です。
ハッカーの攻撃を察知するのも苦手です。トレンドマイクロが企業のIT責任者に実施した調査によると、ランサムウェア攻撃を侵入初期の段階で『検知できる』と答えた日本企業は34.5%と、海外平均の42.2%よりも低いです。
海外のハッカーからは日本の対応の遅れが見透かされています。警察庁によると2022年1月から6月に検知した不審なアクセス通信は1日約7800件と2019年から倍増しました。
米ソニックウォールによると、世界のランサムウェア攻撃は2021年夏をピークに頭打ちとなっており、日本の急増が目立ちます。
クラウドサービスのドリーム・アーツの調査によれば、主要ベンダーを過去に一度も変えたことがない企業は8割に上ります。一社に丸投げし続けることで、自社の課題を主体的に考える人材や意識が乏しくなっています。
米シスコシステムズは2022年8月、世界 27カ国、約6700社のセキュリティ責任者に対して、ID、デバイス、ネットワーク、アプリケーション、データの5つの分野で取り入れている対策について調査した結果を発表しました。『成熟』『進展』『形成』『初歩』の4段階で評価し、最も対策が進んでいる『成熟』段階の日本企業は全体の5%しかなく、世界平均の15%と比べ日本が大きく下回っています。データの保護などで世界と差があり、日本企業のサイバー防衛の整備の遅れが浮き彫りになりました。
<日本政府もようやく対応を始めた>
日本政府は国家安全保障戦略など防衛3文章をまとめ、サイバー攻撃を未然に防ぐ体制整備に乗り出しました。
<ランサムウェアは増加傾向>
警察庁は2023/2/2、2022年の犯罪情勢を公表しました。企業などの保有データを暗号化し復元と引き換えに金銭を要求するランサムウェアについて、全国の警察が把握した被害は計177件でした。155件では被害企業がデータのバックアップを実施していたものの、108件で復旧に失敗しました。失敗したうちの2/3は保存したデータもウイルスで暗号化されました。18%は保存した時期が古く、最新のデータが暗号化されて使えなくなっていました。
データのバックアップルールは『3-2-1ルール』と呼ばれる考え方に基づいて実施すると望ましいとされています。元のデータと合わせて3つの同じデータを保存すること、2つの異なる方法で保存すること、バックアップのうち1つのデータは別の場所で保管することです。
<なりすましメールも増加傾向>
電子メールのセキュリティ対策を手掛ける米アブノーマルセキュリティは、上司や取引先になりすましたメールで金銭を搾取する『ビジネスメール詐欺(BEC)』が2022年下期で前年同期比2.4倍に増えたと発表しました。1000個のメールボックスで1週間あたり2回のBECを検知し、20%が開封されていました。特に管理するメールボックスが1000個以下の中小企業の会社への攻撃回数が多く、4.33回でした。
<短いパスワードは意味がない>
米セキュリティ企業のホーム・セキュリティ・ヒーローズは文章などを自動で作るAIを使うと、一般的に用いられてるパスワードの51%を1分未満で破れるとする調査結果を発表しました。全体の65%が1時間未満、71%は1日未満で解読できました
不正ログインを防ぐには、英数字や記号などの組み合わせによる、15文字以上のパスワードを設定するように推奨しています。7文字のパスワードは記号などを含む複雑なものでも、6分未満で解読できました。一方18文字になると、数字だけの場合でも少なくとも10ヶ月かかりました。
<ITセキュリティは家の鍵と同じ>
家で夜に鍵をかけずに寝る人はいないと思います。家を離れる時にも鍵はかけると思います。なぜITに関してはセキュリティを導入しないのでしょうか。私はセキュリティ対策を適時にやっていないことは家に鍵をかけていないことと同義だと思います。家に常時鍵をかけずに泥棒にお金を取られてもニュースにはなりませんが、ランサムウェアにやられたらニュースになります。
今は有形のモノよりも無形のモノに価値があります。お金よりもデータに価値がある時代です。価値あるデータを守りたいと思うならばITセキュリティにお金をかけるべきではないでしょうか。ITもサーバーやウイルス対策だけではなくて担当するIT人員等も含まれます。
泥棒とハッカーの違いは、日本にいなくても盗まれる可能性があるということです。日本は比較的治安が良いため、泥棒が住みにくい環境です。一方、ハッカーは世界中どこにいても活動ができるため外部環境は気にしません。世界を見渡せば凶悪な犯罪は多数発生しております。このような凶悪な犯罪者がセキュリティの甘い日本を狙うのはある種当然ではないでしょうか。
AIの進化によりIDとパスワードによるセキュリティは限界を迎えているかもしれません。2要素認証や身体認証等のセキュリティが発達していますが、まだまだIDとパスワードによる認証が世の中の主流となっております。上記ホーム・セキュリティ・ヒーローズの調査では、7文字のパスワードでは6分未満で破られてしまいます。鍵はかかってないのと一緒です。リアルの鍵であれば破られにくい鍵に変えるでしょう。また二重鍵にするのも一つです。なぜITセキュリティだけは放っておくのでしょうか。
<家に鍵をかけよう!>
IoTで全てのものがインターネットに繋がる時代において、ITセキュリティは家の鍵と同じです。家の鍵を誰かに預けたままずっと放置するのはおかしいと思いませんか?鍵をかけずに夜寝れますか?企業において会社の鍵の管理者がいないというのはおかしいと思いませんか?このように考えればITセキュリティは難しいものではありません。通常、我々が生活をする上で鍵をかけるようにすればいいのです。
小学校の頃から、『鍵をかけるのよ。泥棒が入ってくるからね。』と親や先生に言われ続けているので、鍵をかけることは常識です。ただ我々が小さかった頃、インターネットはここまで発達していなかったため、教育されていない状況です。そのためITセキュリティに対する認識が低いのだと思います。やることは全く一緒です。『家に鍵をかけよう!』。まずは自分のパソコン、スマホのITセキュリティから見直してみてはいかがでしょうか。