新たな時代を迎えた情報セキュリティ（前編）

――企業を取り巻く情報セキュリティの現状をどのように見ていますか。

　大きな観点から考えると、昨今の「経営環境の変化」と「ICT環境の変化」がセキュリティ脅威の変化につながっていると考えています。

　それぞれの変化をもう少し詳しく見ていくと、まず経営環境の変化では、市場の成長が著しい諸外国へ国内企業が積極的に進出していることが挙げられます。つまりはグローバル化が進んでいるということです。しかも最近では、国境を越えたM＆A（合併・買収）が珍しくなくなり、経営統合や業界再編といった動きも加速しています。

　またICT環境にもさまざまな変化が見られます。クラウド・コンピューティングやモバイルデバイスの普及、一般消費者向けの最新テクノロジーやデバイスをビジネスに活用するコンシューマライゼーションなどがキーワードとして挙げられるでしょう。

　この段階で捉えておくべきポイントは、経営環境やICT環境の変化が情報セキュリティにも大きな影響を及ぼすということです。経営環境がグローバル化すれば、海外の犯罪者に狙われる確率が高まるだけでなく、保護すべき対象も増加するでしょう。そしてクラウド・コンピューティングを利用すれば、オンプレミス環境とは異なるセキュリティリスクが生じますし、スマートフォンを利用する際にはパソコンとは別にセキュリティ対策を考えていかなければなりません。このように経営環境やICT環境が変化すれば、それに合わせてセキュリティ対策も考え直していく必要があります。

　脅威の変化という観点では、攻撃者の動機の多様化や悪質化、マルウェアの多種多様化、標的型攻撃の顕在化といった動きが挙げられます。

　インターネット上での脅威は1990年代半ばから顕在化していますが、当時は愉快犯がほとんどでした。それが2000年前後になると盗んだ情報を売買したり、クレジットカード情報を悪用したりと、悪質なものが目立ち始めます。ただ、ここまでの動機はあくまでも攻撃者個人レベルにとどまっていました。

　ところが2000年代半ばになって、特定の企業や産業に対して攻撃を企てたり、機密情報を窃取したりするような事件が相次いで発覚しています。これは明らかに組織レベルの動機に基づく犯行です。

　最近ではその脅威が国家安全保障の領域にまでおよびつつあります。たとえばイランの核開発施設を攻撃したマルウェア「Stuxnet」では、敵対国による開発への関与が疑われています。実際に関与したかどうかは不明ですが、こうした攻撃は国家間の軍事問題などにも波及しています。このように攻撃の目的が大きく移り変わっていることも、脅威の背景として捉えておくべきではないでしょうか。