セキュリティ人材が圧倒的に不足する中、サイバー攻撃に立ち向かうには
技術の進化によってサイバー攻撃の悪質化・巧妙化が一段と進んでいる。フィッシングメールはその一例だ。以前は日本語として不自然なものも多かったが、今では生成AIの活用により、文章レベルで見分けることは難しい。
さらにランサムウエア攻撃をサービスとして提供する「RaaS」(Ransomware as a Service)も登場。高度な専門知識を持たない攻撃者でも、簡単にランサムウエア攻撃を仕掛けられるようになった。
このような変化に対応するためにも、より一層のセキュリティ対策が求められる。ただし、多くの企業にとって、これは決して簡単な話ではない。そもそもセキュリティ人材が不足している上に、一部の大企業をのぞくと、潤沢な予算を確保できるわけではないからだ。実際、サイバーセキュリティ関連の非営利団体であるISC2が発表した「2024年サイバーセキュリティ人材調査」によれば、日本のサイバーセキュリティ人材の不足は約17万人と過去最大に達したという。
また、セキュリティが高度化・複雑化する中、膨大なセキュリティ製品群の中から、自社の要件に合ったものを選定するのも至難の業だ。
とはいえ、これをやらないことには、大事なビジネスチャンスを逃すおそれもある。サプライチェーンを狙った攻撃が増える中、最近では一定のセキュリティレベルに達していることを取り引きの前提条件とする大企業や業界団体も少なくないからだ。
例えば自動車業界では、「自工会/部工会・サイバーセキュリティガイドライン2.0版」というセキュリティガイドラインを発表。両団体は加盟企業に対し、同ガイドラインが求めるセキュリティ対策が行われているかどうかのチェックシートの提出を求めている。今後はこうしたことが多くの業界に波及していくことになるだろう。
企業がこうした困難な事態に立ち向かうためには、コスト面でも運用面でも自社にとって最適な形になるように、様々な製品/ソリューションを組み合わせていく必要がある。どのような考えのもと、製品・ソリューションを選択すべきなのか。次ページ以降では、その方法について考えてみたい。