「セキュリティの重要性は理解しているが、何から手を付ければいいのか」「売り上げや利益を生み出す領域でないため、リソースを割くのが後回しになっている」。サイバーセキュリティについて話を聞くと、企業の幹部や経営者からはこんな声が聞かれる。

攻撃されていないからといって、対策を後回しにしていると痛い目にあう。危機は現実に、目の前に迫っているからだ。日本の企業や組織を標的にしたサイバー攻撃はここ数年、非常に多く報告されている。警察庁などの資料によれば、企業などへの不正アクセスの認知件数は2019年に前年比で倍増。2020年も高い水準となっている。

一方、偽装されたURLをクリックさせ個人情報を抜き取ろうとする「フィッシング」は2019年、2020年と届け出件数が急増している。これは個人に対する攻撃だが、企業においても社員の不注意からコンピューターウイルスの感染を引き起こすなどのケースは多い。決して無視できる数字ではない。

日本企業の意識は低い

脅威が増す背景にはいくつか理由がある。まずは新型コロナウイルスの感染拡大でリモートワークやDX(デジタルトランスフォーメーション)が急激に普及したことだ。

どこからでも社内システムにアクセスできる、あらゆる業務をデジタル上で完結できることは、仕事の効率を飛躍的に高める。その反面、急ごしらえで導入したシステムや端末には脆弱性が存在する可能性も高い。

攻撃者側のコストが下がっているという事情もある。ダークウェブ(闇の取引市場)では攻撃に必要なツールやキットが活発に売買されているうえ、目下ではRaaS(Ransomware as a Service)と呼ばれる、簡単かつ安価に使えるパッケージまで登場。メールアドレス収集、メール送信、個人情報窃取など、攻撃全体を複数の攻撃者が分業するケースも増えており、技術力が乏しくとも攻撃を仕掛けられるようになった。