日本を標的にしたサイバー攻撃のニュースを見ることも多くなってきました。国境のないサイバー攻撃は日本も他国と同様に脅威にさらされるリスクがあり、脅威は増え続けると予想されています。この脅威に対応するセキュリティ人材の需要も増えると予想されており、経済産業省の推計では2020年にはセキュリティ人材の需要、必要な人員数に対して約20万人不足するとされています。
このような状況の中、増え続けるサイバー脅威への対策を強化していくためには、セキュリティ部門による対策だけではなく、従業員一人一人のセキュリティ意識の向上やそれを推進するための組織全体としての取り組みも必要になってきています。
ここでは、日本を取り巻くサイバー攻撃の脅威の傾向と、その対策を行っていくうえでの課題としてセキュリティ人材不足、セキュリティ意識について考察し、組織全体としてサイバー攻撃への対策を推進する必要性について考えてみます。
目次
1. 増していく日本のサイバー攻撃の脅威
1-1 セキュリティ脅威の傾向
サイバー攻撃の脅威は年々複雑化・巧妙化しています。かつては自己顕示目的や愉快犯のような攻撃で、不特定多数に行うようなものが多かったですが、近年は特定の組織や個人を対象にして、金銭や具体的な情報の搾取を目的とする攻撃が増えています。 IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、標的型攻撃やカード情報等の不正利用が一位になっており、対象・目的を明確にしている傾向が見られます。また、組織においてはセキュリティ人材不足が脅威の上位として挙がってくるなど防御する側の運用面の課題も顕在化してきています。
出典: 情報セキュリティ10大脅威 2018
1-2 増加し続けるサイバー攻撃
下記の図はNICT(情報通信研究機構)がダークネット観測網を利用して分析しているサイバー攻撃関連通信の推移から1 IPアドレス当たりの年間総観測パケット数を算出したグラフになります。 このグラフからも明らかなように、サイバー攻撃関連通信は増加を続けています。複雑化・巧妙化しているうえに件数も増え、そこにセキュリティ運用側の人材不足の問題も相まって、サイバーセキュリティにおける脅威は指数関数的に増しています。
<ダークネット観測統計 1 IPアドレス当たりの年間総観測パケット数>
出典: NICTER観測レポート2017の公開
1-3 攻撃を受けた場合の被害額は甚大
例えば情報漏洩を一回起こすと 一件あたりの平均損害賠償額は5億4,850万円という報告もあります。また、ランサムウェア被害総額全体で、2019年には 115億ドル(2018年7月のレートに換算すると約1.3兆円)という予測もあります。 このようにサイバー攻撃の被害に遭うと巨額の損失を招く可能性があります。近年、サイバーセキュリティ保険に関する産業が伸びてきていることも、こうしたリスクへの対策を企業が注力している傾向と捉えられるかもしれません。
インターネットに接続できる端末が増え、ネット経由でビジネスのやり取りやオンラインバンキングなどができることは利便性が上がる一方で、それと比例してセキュリティ対策を施すべき対象も増えていきます。増える保護対象とそれを支える運用リソースの確保を代表的な脅威として、次の章では日本の課題について考察してみます。
2. サイバー攻撃対策における日本の課題
インターネットにつながる端末の増加と共にサイバーセキュリティ領域の需要が拡大していく潮流は世界的なものであり。日本国内でも需要の増加が想像できます。その中で今後サイバー攻撃・サイバーセキュリティと向き合う際の課題について挙げていきます。
2-1 セキュリティ人材不足
経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果」では、「ビッグデータ、IoT等の新しい技術やサービスの登場により、今後ますますIT利活用の高度化・多様化が 進展することが予想され、中長期的にもITに対する需要は引き続き増加する可能性が高いと見込まれる。」とされています。一方で、2020年にはセキュリティ人材の需要数に対して19.3万人もの人材が不足すると推計しています。
出典: IT人材の最新動向と将来推計に関する調査結果(PDF)
2-2 セキュリティ意識向上の必要性
日本は世界的に見てセキュリティ意識が低いとも言われており、 A10ネットワークスが行った調査では「日本は他国に比べてサイバー攻撃の被害を把握できておらず、 従業員のセキュリティへの関心のなさとポリシーの普及に悩まされている」とされています。
ITの利活用は企業の収益性向上に不可欠になってきている一方で、第一章でもご紹介した通り企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。
経済産業省のサイバーセキュリティ経営ガイドラインでは、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進する必要がある旨が記載されており、セキュリティ対策は担当者レベルだけで実施するのではなく、企業の経営責任として会社全体で行い、リソースの確保・従業員への教育などを進めていく必要性があると言えます。
3. サイバーセキュリティの潮流
3-1 常に進化する、攻撃者優位のサイバー攻撃
サイバー攻撃は攻撃者が先行して新たな攻撃を行い、それを防御するためのソフトウェアを後から防御側が作成して、既知の攻撃手法を防御するというサイクルがありました。最近では各セキュリティベンダーが、機械学習などを活用して、疑わしい挙動を先に検知する技術も活用されています。しかし、常に新しい攻撃手法が現れイタチごっこの状態で、また日々新しいマルウェアが発生するなど、脅威のすべてを入口で防御することが難しいという現実があります。
この傾向は今後も続くと思われサイバーセキュリティ市場において以下のような潮流を生んでいます。
3-2 世界的にサイバーセキュリティ市場は膨らむ
米国調査会社の MarketsandMarketsの予測によると世界市場規模は2017年段階の1378億ドル(2018/7/24時点の円換算で約15兆円)から、今後2022年には2319億ドル(同、約26兆円)市場へと拡大すると予測しています。
これは世界の中堅国の国家予算並みの規模となります。市場が拡大する主な要因として、Iotの普及、個人端末のビジネス利用の促進、クラウドベースアプリケーションの普及等によるサイバーセキュリティ対策の確保の増加が挙げられます。
3-3 脅威として存在感を増すサイバー攻撃
サイバーセキュリティ関連の技術はアメリカが多く生み出していますが、アメリカは国家をあげてサイバーセキュリティ領域に力を入れています。例えば、アメリカのサイバーセキュリティ関連の国家予算も約190億ドル(2017年度、当時の円換算で約2兆円)となっており、増え続けているとはいえ日本のサイバーセキュリティ予算約730億円(平成30年度、参考:政府のサイバーセキュリティに関する予算(PDF))と比べると巨額の投資をしています。
サイバーセキュリティ分野で世界の最先端とも評されるイスラエルや、イスラエルのベンチャーへの投資・連携を強める世界の各企業、軍隊としてサイバー部隊を強化していると言われる北朝鮮など、世界に目を向けるとサイバーセキュリティ分野への視線は熱くなっています。
また、世界経済フォーラム(ダボス会議)で報告されたグローバルリスク(複数の国や産業に多大な悪影響を及ぼす可能性のある不確実な事象)として、異常気象、自然災害、大規模な移民、テロと並んでサイバー攻撃も上位(下図、右上の領域)のリスクとしてランクされており、組織においても自然災害等の対策同様に、中長期的な視点も含めサイバー攻撃の脅威を考慮した計画の必要性があると言えます。
出典:The Global Risks Report 2017 The Global Risks Landscape(PDF)
4. まとめ
今後の展望として、サイバー空間での脅威は増え続けると思われます。セキュリティ分野のリソースを増強することも必要になってきますが、脅威の入り口は一人一人の端末にもありますので、セキュリティ意識の向上も大切な要素になってきます。
人材不足に対応するために効率化だけではなく、人材育成にも注力する必要性や、セキュリティ意識の向上のためにセキュリティ部門だけが社員への啓発を行うのではなく、組織として支援を行う必要性があるでしょう。
マカフィー株式会社 マーケティング本部
