ここ1年間における情報セキュリティ界の大きな出来事といえば、やはり、三菱重工および政府機関などが、重要情報の搾取を目的とした標的型サイバー攻撃の被害に遭い、世間を騒がせたことでしょうか。
それらの事件を受け、政府機関は今年1月末に、国防に関わる情報や原発などの重要情報の漏えいを防ぐため、調達先の民間企業に対して、十分なサイバー攻撃対策を講じることを義務付けました。
また、サイバー攻撃を受けた際も、政府一丸で対応に当たれるような体制を構築すべく、すべての省庁へ、サイバー攻撃に一元的に対応する専門チームを設けました。従来のセキュリティ対策だけでは不十分であり、早急にセキュリティ体制の見直しが必要であることがうかがえます。
今回は、昨年からの代表的な標的型サイバー攻撃の内容について少しおさらいしながら、サイバー攻撃に対する“それなり”のセキュリティ対策を考えていきます。

これまで特段ネットワーク上のセキュリティ対策を行っていない組織でも、UTMを導入することで、サイバー攻撃対策に加えて、ネットワークのセキュリティレベルを上げることもできます（第8回掲載「UTMを「それなりに」使いこなす術」を参照）。
しかしながら、一定のセキュリティレベルを確保したとしても、情報搾取を目的とするサイバー攻撃を受けた場合には、完全に防ぎきることは極めて難しいというのが実情です。
そのため、どこまでのセキュリティ対策を構築すべきかという点に関して、明確な答えはありません。あまり重要性のないシステムに何千万円、何億円とセキュリティ対策費用をかけても、その費用の割には効果が薄いことになるでしょう。
だからといって、何もやらないのではリスクが大きすぎます。システムやデータごとに、その身の丈に合ったセキュリティ対策を構築し、かつ関係者への教育を徹底しておくことが重要です。そうすることで、被害に遭うことは完全には避けられないとしても、その被害を最小限で食い止めることが可能となります。
これからも、これまで紹介してきたセキュリティ対策を組み合わせ、それらの相乗効果によって、セキュリティの向上を図ってもらえれば幸いです。
さて、冒頭でも述べましたが、今回が最終回となります。セキュリティ対策の基本は、事故の「未然防止」と「拡大防止」ですが、情報セキュリティの対策手段は、物理セキュリティと比べて非常に多彩です。

それなりにサイバー攻撃のセキュリティ対策を考える (6/6)：EnterpriseZine（エンタープライズジン）