標的型攻撃への対策状況（2018年）／後編：IT担当者300人に聞きました（2/2 ページ）

　関連して今後導入を検討している標的型攻撃対策のためのセキュリティ製品について、「標的型攻撃対策を何らかのIT製品を導入する形で行っている」または「今後行う予定」と回答した方に聞いた。その結果、「UTM（統合脅威管理）」20.8％、「統合ログ管理／SIEM」18.1％、「IDS（侵入検知システム）／IPS（侵入防止システム）」16.7％などが導入意欲の高いセキュリティ製品として挙げられていた（図3-2）。社外からの不審な攻撃の早期発見と対応、社内も含めた統合ログ管理など、企業を狙う脅威に対して“内と外”を意識したセキュリティ対策が検討されているようだ。

図3 現在導入している／今後導入を検討しているセキュリティ製品

IT導入しない2大理由「予算不足」「人材不足」の裏に“セキュリティ意識”の差が

　最後に、全体の約3割存在する「IT導入による標的型攻撃対策を行っていない方」にその理由を聞いたところ、「導入や運用の予算が不足」54.7％、「対応できる人員の不足」30.2％、「ツール・製品に対する知識不足」22.6％、「経営層の理解不足、必要性を理解していない」と「導入すべき製品の優先順位が分からない」が20.8％と続いた（図4）。

　この結果から、IT導入による標的型攻撃対策を行わない理由は、セキュリティ対策に掛ける「予算の確保」や対応工数やスキルなどの「人材不足」の2つに大別できそうだ。この2つの問題は以前よりセキュリティ対策に掛ける費用対効果の側面から、どのくらい充実させるべきなのか企業によって判断が分かれる問題でもあった。また「現状のセキュリティ対策で標的型攻撃も対応できる」13.2％、「自社は標的型攻撃を受けることはないと考えている」5.7％といった回答から推察されるように、企業によって差が出る標的型攻撃に対する見識の違いも「予算」や「人材」の配分を考える際には切っても切り離せないポイントになってくる。

■ROIや対策の妥当性評価、最新情報の収集にも不安の声が上がる

　この問題を考えるのに関連して、標的型攻撃対策について「不安、不満に思う点」や、「独自で実施している対策方法」など他社状況をフリーコメントで聞いているので、以下に分類して紹介しよう。

　攻撃時の損失被害額を算定できないため、投資の妥当性を評価できない、という意見が多く見受けられた。中には「全て外部委託しているので業者次第。コスパがよいかどうか分からない」といった意見もあった。費用対効果を示した提案がしにくいことと相まって、経営層や従業員そのものの意識が低いことに苦慮する声も多く寄せられた。

　「従業員の標的型攻撃への認識が不十分で対策の必要性が理解されない」「セキュリティ対策を講じても従業員の意識が変わらない」といった意見の他、標的型攻撃対策の需要性を認識しながらも、「『重要な情報を持っていないから自分は狙われないだろう』と思っている人が多い」という指摘もあった。

　こうした問題意識から、注意喚起のために訓練プログラムを実施している場合も、「被害が発生したことがないため社員が慣れてきたため、効果が薄れている」といった意見も見られた。

　さらに回答者の多くが声をそろえたのは「次々と手口を変える攻撃に対して、最新の情報や攻撃手法の知識を得る手段がない」、という意見や「現在実施している対策が有効なのかどうかを評価できていない」といった、セキュリティ対策の運用担当者自身が、対策状況を不安に感じている点だ。

　標的型攻撃にかかわらずセキュリティ対策は企業がリスクをどう捉えているかに依存するため、対策状況は千差万別だ。しかし一度でも漏えいやサービス停止などの重大なインシデントが発生した場合、失うものは大きい。また、自社のみならず取引先や従業員、何よりも価値提供先のユーザーに多大な迷惑を掛ける恐れがあることを忘れてはならない。従業員規模問わず、企業はいつでも標的型攻撃の対象になり得るという意識を持ち、自社に合った優先順位で効果的な対策を検討していただきたい。

図4 標的型攻撃をITツールの導入で行わない理由