世界中で「サイバー攻撃」のリスクは高まっていて、仮に大企業が自社内のセキュリティに尽力していたとしても、いくつか穴を開けられてしまうポイントがある。
・海外拠点経由 一般に海外支店やM&Aした海外子会社などのセキュリティは緩い。
・サプライチェーン経由 お取引先になりすましたり納入品に潜ってくるリスク。
サプライチェーンリスクとして、納入業者に十分なマネジメントを要求することは当然だが、納入業者がセキュリティ体制を取れない規模のこともあって、中小企業のセキュリティ能力UPは産業界全体の課題である。
僕の経験からすると、IT導入でさえ100億円/年未満の企業では十分な体制を取るのが難しい。ましてやセキュリティの専門家を置いて十分な管理をするというのは無理だ。IT導入に関しては、昔からクラウドなど共有サービスでまとめてしまうことが有効だった。1社は100億円規模でも、20社集まれば年商2,000億円の大企業である。セキュリティ管理も同じ面があり、Googleはセキュアードなクラウドサービス利用を推奨している。
2021年のセキュリティ業界で予想される傾向トップ3 | Forbes JAPAN(フォーブス ジャパン)
ここで示されている今年の傾向3点は、
・セキュリティが意識されなくなる
・個々の従来型オペレーションは廃止へ
始めの項目は、オペレーションはクラウド側に任せて事業に専念できるとメリットを説いているのだが、最後の項目は少し説明がいるだろう。最近クラウド利用が増えてきているのはいいことだが、まるきりユーザ企業が理解せずにクラウドを使ってはいけない。クラウド設定ミスで、あらぬデータが外部に流れる「事故」が結構目立つのだ。
加えて最近は、サービス事業者を狙う高度な能力を持った攻撃もある。Microsoftのメール「Exchange」が狙われたケースが記憶に新しいし、昨年末には有力なセキュリティ企業「Fire Eye」も攻撃を受けた。
セキュリティ強化のためのクラウド利用はいいのだが、自社でやるべきことは理解していなくてはいけません。初期設定や自社内のデータそのもの(例:誰がどういう条件ならアクセス可か)の整理をして、初めてクラウド・セキュリティは機能します。これは覚えておいてくださいね。神頼みはNGですよ。