高度化するセキュリティ脅威を見据え--適切なポリシー構築で考えるべき10項目

　英国企業では、2018年1月中に707万3069件の情報が流出したという。また米国時間2018年1月3日には、米国土安全保障省（DHS）が、24万7167人いる同省の職員らの個人情報が漏えいしたことを明らかにした。

　この2018年の最悪の滑り出しを見れば、2017年11月に実施されたNASCIOの調査で、企業の最高情報責任者（CIO）が2018年の最優先事項としてセキュリティとリスク管理を挙げたのも驚くには当たらない。

　では、企業には十分な備えができているのだろうか。

　セキュリティ企業Check Pointのマーケティング担当バイスプレジデントGabi Reish氏は、「現在はサイバーセキュリティの第5世代にあたる」と述べている。

　Reish氏はサイバーセキュリティの世代について、次のように説明している。

• 第1世代：フロッピーディスクを搭載したPCが導入され始めた1980年代頃に、最初のサイバー攻撃であるコンピュータウイルスが広がった。
• 第2世代：1990年代半ばに登場した、情報とネットワークセキュリティを標的としたサイバー攻撃で、その対策としてファイアウォールが利用された。
• 第3世代：2000年代の初めに広がった、アプリケーション、ブラウザ、ネットワークの悪用。この世代の攻撃への対策として、ネットワークへの侵入検知が始まった。
• 第4世代：2010年頃から始まった、電子メールや文書、画像などに組み込まれたマルウェアによる、進んだサイバーセキュリティ攻撃。対策として、それらの攻撃を閉じ込め、ネットワークのほかの領域に広がるのを防ぐサンドボックスが生まれた。
• 第5世代：ランサムウェア、フィッシング、コンテンツの悪用や、それらの手法の組み合わせによる、広範囲に被害を及ぼす攻撃。

　Reish氏は、多くの企業は「サイバー保護のレベルが第2世代か第3世代にある」状態だと述べており、DDoS攻撃の防止、ファイアウォール、ネットワークの負荷分散ソリューションなどを提供するRadwareによる最近の調査でもそのことが示されている。Radwareの調査では、「4社に1社（24％）の企業が毎日あるいは毎週サイバー攻撃を報告していると回答している一方で、調査対象企業の80％近くは、これらの攻撃による被害額を算出しておらず、3社に1社はサイバー攻撃に対する緊急対応計画を策定していない」という。

　サイバーセキュリティを強化するには、最も効果的なテクノロジを導入することも重要だが、それらのテクノロジが実際に効果を発揮するかどうかは、そのテクノロジを運用する企業や人間次第だ。このため、CIOや最高セキュリティ責任者（CSO）にとって、ポリシーの策定や実施は極めて重要な問題だと言える。

　では、今の状況に合致した適切なサイバーセキュリティポリシーや対策を策定するには、どのような点に注意すべきなのだろうか。以下では、10項目のアドバイスを紹介する。