2015年も終わろうとしています。今年もいろんなセキュリティインシデントが発生した1年でした。特に、日本を狙った標的型攻撃メールの急増とそれに伴うインシデントの多発が目立った1年だったように思います。法制度面で見ると、サイバーセキュリティ基本法が全面施行され、マイナンバー法の施行、個人情報保護法の改正も閣議決定され、セキュリティ情勢が大きく変化する1年でもありました。

　日々、悪質化、巧妙化、組織化、拡大化するサイバー攻撃。急速に進化する技術革新。変化する社会環境と多様化するニーズ。このような荒波の中で、企業や組織は、顧客に対して、安心して信頼できる価値の高いサービスを提供し続けていく必要があります。そのためにも、企業・組織体そのものが信頼できる存在であり続けなければなりません。急成長している会社であっても、ひとたび大きなセキュリティインシデントを発生させてしまうと、被害額が甚大になるだけでなく、会社の信頼をも失ってしまいます。被害額は一過性のものですが、信頼は長期に渡る企業価値、ブランドの損失につながります。絶対に避けたいところです。

　サイバー社会が健全に発展していくためには、その中で活動する企業や組織が、悪質な行為を排除し、自らがセキュアであり続ける力を身に付ける必要があります。残念ながら、こうした力を身につけている企業、組織はそれほど多くはない、というのが実態ではないかと思います。特に、中堅・中小企業においては、その傾向が顕著です。しかしながら、サイバー攻撃はそうした中堅・中小企業を狙ってきます。大企業と取引関係のある中堅・中小企業は沢山あるはずです。大企業の保有する換金性の高い情報に攻撃者が狙いをつけたとしたら、その取引先の中堅・中小企業の社員になりすまして、その大企業に侵入を試みようとするかもしれません。そうなると、攻撃者の狙いは、取引先の中堅・中小企業の個人情報になります。これは一例です。自組織は知名度もないし、大した情報もないので、サイバー攻撃など受けるはずも無い、と思われている経営者も多いのではないか、と思います。サイバー社会の中で経済活動を営んでいる企業・団体は、何らかの形でつながっていますので、「あなた」という存在に攻撃者がなりすますことで、より大きな獲物を獲得することができるかもしれません。攻撃者は「あなた」という「信頼」を狙ってくるのです。

　セキュリティに100%はありません。しかし、100%でないなら0%でも同じ、ということでもありません。優勝しなければ何位でも同じ、と考えるプロスポーツの世界とは違います。攻撃者はコストをかけて攻撃してきます。よりセキュリティの高い攻撃対象にアタックするためには、攻撃コストも高くなります。したがって、攻撃しやすいところを攻めてきます。つまり、セキュリティ対策を実施すれば実施するほど、狙われにくくなる、ということになります。攻撃者は一種のストーカーです。サイバーストーカーから身を護るには、サイバーストーカーに狙われないようにすることです。

　そのためにも、昨今のセキュリティ情勢を十分に把握し、今後のトレンドを見据えた上で、自組織に必要なセキュリティ対策を適切に施していくことが重要になります。サイバーセキュアであることがサイバー社会で活動する企業体の競争力の源泉になるはずです。ドラッカーは、「明日を支配するもの」の中で、未来の成功への道を次のように述べています。

自ら未来をつくることにはリスクがともなう。しかし、自ら未来をつくろうとしないことのほうがリスクは大きい。

名言ですね。わたしも非常に大好きな言葉です。これになぞらえると、明日のセキュリティは次のように考えるべきだと思います。

自らセキュリティ対策を実施することにはコストがともなう。しかし、自らセキュリティ対策を実施しないことのほうがコストは大きい。

当社では、今回、サイバーセキュリティトレンドを策定し、皆様に公開する活動を開始しました。本トレンドは、サイバー社会で活動する企業・組織の経営層に対するメッセージです。サイバーセキュリティトレンド2016は7つのトレンドにまとめています。是非、ご一読ください。また、トレンドの策定に加わった当社技術者がトレンドの内容に関わる最新のトピックを毎月発信していく予定です。こちらもお楽しみにしてください。

2016年は、セキュリティインシデントが少ない1年であることを願うばかりです。
皆様、良いお年をお迎えください。