<「加害者」ではなく、「被害者」が責められる犯罪!>
――サイバー攻撃を受けていても、公表しない企業がとても多いと聞きます。本当ですか?
守屋 残念ながら、本当です。この犯罪は「被害者」が公表して得することがなく、企業の"ブランドイメージ"が悪くなるだけなのです。何よりも、一番大きな理由は、「加害者」ではなく、「被害者」が責められる特異な犯罪だからです。例えば、顧客のデータが流出したとします。従業員や関係者が持ち出したりすることは論外ですが、どんなに強力なセキュリティシステムを敷設していたとしても、絶対はありません。
それでも、情報漏洩した企業、"やられた"企業が悪者になり、マスコミに叩かれます。そこで、被害者である企業は公表したがらないのです。
さらに言えば、他の犯罪と違い、実際のところ何が起こっているのかが、分からないことが多いのです。昨年末の一連のサイバー攻撃の件でも起こったことは確かですが、犯人は捕まっておりません。
ちょうど、今話題となっている神奈川県警、大阪府警、警視庁、三重県警の4都府県警の「PC遠隔操作~誤認逮捕」の例もそうです。従来であれば、「IPアドレス」を根拠にして容疑者に到達することができたのですが、そのパソコンが遠隔操作ウィルスに侵されていれば、この方法は全く意味をなさなくなります。
さらに大きな問題があります。十全なセキュリティ体制を敷設するには多大なコストがかかります。
民間企業でセキュリティをコストと考えてしまうと先に進めません。それは、製品価格に反映してしまうからです。すでに、被害を受けた企業は、「予防」の重要性を十分認識されています。しかし、一般の多くの企業は他人事になってしまうのです。
その理由は、顧客は、セキュリティがしっかりしている会社としっかりしていない会社は見た目で区別がつきません。当然、廉価な方を選んでしまうからです。
「セキュリティ監視システム」を提供する側から申し上げますと、多くの経営者は事故が起こらなければ、事前対策をしません。さらに、事前対策される企業でも、契約して3年とか5年の間、何も起こらなければ「セキュリティ監視システム」を解約されることもあります。「水と安全はただ」という感覚が染み付いている日本企業はその傾向が強いと言えます。
しかし、この考え方にも変化が起こりつつあります。従来は「ウィルスを入らないようにしなさい」という「予防」対策が主だったのですが、ウィルスが入ることを100%はくい止めることができないということが分かりました。「入った後、如何に早く発見し、そのウィルスを如何に無力化できるか」に変わってきたのです。こうなると、全ての企業にその準備が必要になり、準備ができている企業と、できていない企業とでは、その被害に大きな差が出てしまいます。最近の例では、サイバー攻撃によってウィルスに感染しているのに、1年以上気づいていない企業もありました。
※記事へのご意見はこちら