被害が深刻化する日本のWebサイト/Webシステム攻撃の現状、そして既存のセキュリティ対策の実態についてセキュリティの有識者が対談した。情報システム部門が行うべきセキュリティ対策とは?
日本企業にとって、サイバー攻撃や情報漏えい事故など、セキュリティ侵害の脅威は重要な問題だ。特に企業システムを標的とする攻撃者の目的は、完全に営利目的にシフトしている。組織の銀行口座情報を狙ったり、機密情報を摂取して転売したり、あるいはそうした情報を“人質”として身代金を要求するケースすらある。その目的を達成するため、サイバー犯罪者らはありとあらゆる手口を用いる。
特に深刻なのは、企業のWebサイト/Webシステムを侵害し、商品を購入したりサービスを利用したりする顧客を狙う手口である。この2〜3年の間に、著名な企業やサービスを含む、多くのWebサービスがセキュリティ侵害に遭い、膨大な数の個人情報が窃取されたり、マルウェアに感染したりする被害が報じられた。最近では、情報システム部門の知らないところで事業部門が外注してWebサイト/Webシステムを構築するケースも多い。情報システム部門のコントロール下に無い状況でシステムがサイバー攻撃に見舞われるリスクも大いにあるのだ。
一方で、日本企業は欧米企業に比べて、セキュリティ対策において後れを取っていることが分かっている。MM総研が2013年12月に発表した調査(※)によれば、米国企業のセキュリティ投資比率が7.2%であったのに対し、日本企業は5.7%にとどまった。特に「セキュリティ監視・運用サービス」の導入比率は、米国企業の60%超に対して、日本企業は30%にとどまったという。経営者のセキュリティ意識も、米国企業と比べて大幅に低い回答となった。
※ 「日米企業の情報セキュリティ投資動向―セキュリティ対策で後れをとる日本企業―」
なぜ日本企業のセキュリティ対策は後れを取ってしまっているのか、情報システム部門はWebサイト/Webシステムのセキュリティ対策をどこまで講じるべきなのか。今回は、導入から運用保守まで全てのシステムを提供するピーエスシー(PSC)と日本アイ・ビー・エムが、Webサイト/Webシステムの構築から運用までに取るべきセキュリティ対策について議論した。
提供:株式会社ピーエスシー、日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部