もっと詳しく

 調査会社Gartnerは2021年10月にイベント「Gartner IT Symposium/Xpo」を開催した。その中のセッション「Crossroads: Should You Pay the Ransom?」で、同社アナリストのサム・オリャーイ氏とポール・プロクター氏が、ランサムウェア(身代金要求型マルウェア)攻撃について議論を繰り広げた。

 「サイバー攻撃による被害は、技術的な観点からも、広報宣伝や評判の観点からも、大部分が企業の対処の不手際で広まる」とオリャーイ氏は話す。ただし重要インフラが攻撃された場合の影響は、被害企業の対処方法を問わず、さらなる問題を引き起こすことがある。プロクター氏によると、石油パイプライン企業Colonial Pipelineにダメージを与えたのは、約440万ドルの身代金支払いをはじめとするランサムウェア攻撃への対処よりも、米東海岸で起きたガソリン不足騒動だった。

 両氏が共通して指摘するのは、「経営層のセキュリティに対する認識不足」だ。この問題を長年目の当たりにしてきたプロクター氏は、「人々はセキュリティを“魔法”、セキュリティ担当者を“魔法使い”として扱ってきた」と話す。魔法使いに金を支払えば呪文を繰り出して企業を守ってくれるし、何か手違いがあれば魔法使いのせいだという捉え方だ。「こうした認識は実にひどい投資判断につながる」と同氏は言う。

 経営層のセキュリティに対する認識不足は、企業の攻撃への備えにも影響を与える。Gartnerの調査では、「自社はランサムウェア攻撃に対処できる態勢が整っている」と回答したセキュリティ責任者は調査対象の80%を占めたのに対し、経営陣は13%にとどまった。「そこには文化的断絶がある」とオリャーイ氏は話す。

 両者の見解が一致した別の問題は、「ランサムウェア攻撃の被害は防げるが、基本的なセキュリティ対策が欠如している」点だ。その状態を、オリャーイ氏は「ドアや窓を開けっ放しで、歯磨きをせず、就寝時間が不適切な状態」に例える。「適切なセキュリティ対策を導入すれば、身代金を支払うべきかどうかを判断しなければならない事態そのものを回避できる。この判断を突き付けられた時点ですでに負けだ」(プロクター氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。