ここは、2006年頃に比べて格段に変わっていますね。

でも企業の中の人は、まだワーム対策ばっかりしていたり・・・基準がそうだったり・・・

小野寺 : 最近は攻撃の目的が大きく変わってきていることを実感しています。
以前は不特定多数の利用者を混乱に陥れる愉快犯的な
攻撃が主でしたが、今は企業や個人をターゲットに金品や重要な情報を盗み出すことが目的となっています。
単なる愉快犯ではなく、大きな実害を伴う攻撃へと変化してきているのです。
数年前までは常識だった、ウイルスを想定するだけの単純な時代は終わったと言
えるでしょう。

動画系のCodec（エロかいｗ！）とか、ウイルス対策ソフトの偽物とか・・・結局は開く人のモラルになりつつあります

ウイルス対策ソフトも１００％は信頼できないしね。（検体が集まりにくいし、ダウンローダ経由で色々な亜種がはいってきちゃうし、、、

── : 攻撃の目的が悪質化しているということですが、具体的にどのような被害が報告されているのでしょうか。
小野寺 : 最近はアプリケーションの脆弱性を使わないパターンの攻撃も増えてきています。
たとえば、業務に関係する取引先を装ったメールを送信したり、顧客からのクレームに見せかけた内容で相手の関心を引きつける
といった具合です。
まったく心当たりのない内容なら、受け取ったほうも無視できますが、仕事に直結した内容であれば、やはり気になってメールに添付されたファイルを開いてしまうこともあるでしょう。
そこが攻撃者のねらいなのです。この対象者なら、こういう内容であれば関心を寄せる、無視できないはずだということを何らかの方法で知りえたうえで標的を絞って攻撃を仕掛けてくるのです。
その結果、重要な個人情報や機密情報が外部に漏えいするといった事案が報告されています。

一部の１００％より総合得点６０点でも８０点でも取ることが大切、団体優勝を目指すのがセキュリティの近道かもしれませんね。

小野寺 : 多層防御のモデルを参照し、現実とのギャップを認識することが最初の 1 歩となるでしょう。
現状ではどの階層のセキュリティ対策に「ヌケ」があるのかを自己診断し、そこを端緒に他の階層へと次第に広げていくというのが現実的だと思います。
どこか 1 つの層で100% の対策を目指すことは、とても難しくコスト的にも不利ですが、複数の層において80% のセキュリティ対策を重ねていくことは、確実に安全性を高め、コストも抑えられるはずです。
さらに、情報システムすべてを把握するために、IT エンジニアの時間を割くのではなく、管理製品を組み合わせて利用することで、情報システム全体の状況を「見える」ようにし、管理者が他の情報収集や将来のための作業を行えるようにする必要があると考えています。