誰もが間違う、セキュリティ対策「9の迷信」：対策に有用なフレームワークも紹介

サイバー攻撃対策を効果的に進める際、ハードルになる可能性があるのが、社内に潜む“迷信”だ。主要な迷信を整理し、対策を進めるための指針となるフレームワークを紹介する。

[Harvey Koeppel，TechTarget]

　企業はサイバー攻撃に関して“ハイテク”な対策を取るようになっているが、攻撃者は“ローテク”になっている。本稿では、最高情報責任者（CIO）が見落としがちな点とサイバー攻撃が発生する仕組みを紹介する。

　強固なサイバー攻撃対策が自社を保護する適切なアプローチだと今も信じて疑わないCIOに警鐘を鳴らしたい。

関連記事

• 米NSAの“最強ハッカー集団”「TAO」の背筋が凍る手口
• 何が起きたのか「韓国大規模サイバー攻撃」
• 1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口
• 「金融機関をハッキングせよ」　英国でサイバー攻撃演習が実施
• 「ATMは止まらない？」、疑似サイバー攻撃で銀行が試される

　受動的になりがちなサイバー攻撃対策の態勢を強化し、油断した状態を改める必要がある。そのためには、社内外の両方に積極的かつ抗戦的なサイバーセキュリティ手段を導入すべきだ。それができないなら、履歴書を書き直すことをお勧めする。主な技能分野からサイバーセキュリティを除外して、優秀な幹部社員のスカウト会社に相談して転職先を探すのがよいだろう。

　各方面への公平を期して述べるなら、IT業界はサイバーセキュリティに関する大げさな情報であふれている。この状況は、生活を一変させる他のテクノロジー／機能に関する膨大な情報と大差ない。例えば、クラウド、ビッグデータ、モバイルコンピューティング、私物データの業務利用（Bring Your Own Data）、リアルタイム分析などだ。

　大量の大げさな情報に囲まれている現状を考えると、事実とうそを切り分けるのは途方もなく大変な作業になる可能性がある。具体的には、現在の「必要な製品」と過去の「買わなくてよかった製品」を区別する作業だ。後者の例は、音楽用に利用されていた磁気テープ規格の「8トラック」やビデオテープレコーダー規格の「ベータマックス」などだ。本稿では、あえてこの課題に挑む。

　サイバー攻撃対策に関して検討すべき、特に重大な迷信は以下のようなものだ。