標的型攻撃という言葉をご存じだろうか。特定の企業や団体を狙ったサイバー攻撃を指す。防御網をかいくぐってサーバーの中に不正なプログラムを送り込んだり、人間系の弱点をついてIDやパスワードを盗み出したりする犯罪行為だ。

 目的は重要な資産であるデータを盗み出したり、活動自体を混乱させることにある。今後は特定のサイトに短時間に集中してアクセスすることで、サイトの機能を停止させるDDos攻撃なども増えると予想されている。

「中国軍がハッキングに関与」、米セキュリティ企業が報告

米企業へのサイバー攻撃が頻発している(写真は情報セキュリティー企業マンディアントの報告書で中国人民解放軍が率いるハッカー集団の拠点とされた上海近郊のビル)〔AFPBB News

 多くの企業ではこうしたサイバー攻撃について他人事だと思いがちだが、実態は全く違う。実際に企業のサーバーを調べてみると、ほとんどのサーバーには不正な攻撃を受けた痕跡が見られるという。

 サイバー攻撃はそれほど当たり前の次元にあり、どの企業でも対策が必要とされているのである。

 仮にサーバーが攻撃された場合、情報の流出やシステムの停止などの被害が発生する。その損失は予測以上に大きい。

 守るべきデータやシステムの優先順位の設定、対策を講じるためのリスクマネジメントのシナリオの用意、事業継続の観点からの体制つくりなど想定しておくべきことは多い。これらへの対応が今企業に問われているのである。

セキュリティーも含めて総合的にクラウドサービスを評価

 こうした中で関心が高まっているのが、クラウドサービスの活用である。ITコストの削減や変化への柔軟性からのメリットがあると注目されるクラウドサービスだが、リスクマネジメントという観点からもメリットは大きい。

 3.11以降、BCP(Business Continuity Plan、事業継続計画)の一部としてクラウドサービスが位置づけられ、セキュリティー対策についても自社よりも安心できると考える企業が増えてきている。

 それでは実際にクラウドサービスをどんな視点から選択すれば良いのだろうか。参考になるのが、今年の2月に行われた、MM総研の第1回「ビジネスクラウド総合評価調査」である。