情報セキュリティに求められる中期的ビジョン

昨今、企業の情報セキュリティに関わる課題が一般ニュースに取り上げられる機会が増えている。それは、セキュリティ被害が事業継続に直結する課題となってきていることを物語っている。本稿では、昨今の脅威の傾向を紹介しつつ、目の前の課題解決ではなく、今後3〜5年後を見据えた場合に打つべき重点施策を考える。

2014年の10大脅威

直近の脅威動向を把握するために、まずは2014年3月にIPA（情報処理推進機構）が発表した「10大脅威（2014年版）」のリストを見てみることにする。上図は、IPAの発表資料を基に、2014年に重視すべき脅威としてあげられた10項目を、過去5年のランキング推移とともにまとめたものである。

これを見ると、2014年に脅威としてあげられた10項目のうち、今年新たにランクインしたものが4項目を占めている。昨今の情報セキュリティを巡る脅威が、極めて移ろいやすいものであることがうかがえる。

その一方で、順位に変動こそあるが継続して重視されている脅威もある。その1つが2014年版で再び首位となった「標的型攻撃」である。国内では2011年ごろからその被害が大きく報道されるようになったが、5年前の2009年から一環してランクインしている。同じく2009年から連続してランクインしているもう1つの項目が「Webサイトの改ざん」である。これはかつてGumbler型攻撃として話題になったため、覚えている方も多いことであろう。この2項目は、2014年のランキングでいずれも順位が上昇しており、収束に向かう気配が見られない。

このように、長期間にわたって警告されている脅威に対する備えは、単一のテクノロジや施策で防ぐことが困難である。それだけに、企業側も中長期的な視座に立ち、腰を据えた対策が必要である。

ちなみに、2014年版で6位となった「悪意あるスマートフォン・アプリ」も、2011年から4年連続のランクインとなり、長期的な課題となりつつある。モバイルデバイスの普及とともに、これもまた重要なテーマとなるであろう。