コロナ禍の影響でテレワークや働き方改革が進み、これからの時代はあらゆる社会生活がネットワークを通じたサイバー空間で営まれていくことになる。それに伴い、サイバー攻撃のさらなる増加が懸念されている。デジタルアーツは、2022年上半期（1～6月）の国内組織における情報漏えいなどにかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計した。22年上半期で最多のセキュリティインシデントは「マルウェア感染」だった。
 
　最多のマルウェア感染の内訳を調査したところ、特に多かったのが「Emotet」の感染だった。


　Emotetをはじめとするマルウェア感染は、Webアクセスとメールに起因することが多い。攻撃の手口は巧妙化しており、人の目で危険かどうかを見分けるのは困難だ。最新の攻撃に関する対策を施していないとマルウェア感染のリスクは高まってしまう。JPCERT/CC（JPCERTコーディネーションセンター）や情報処理推進機構（IPA）など多くの機関がセキュリティ対策の最新情報や注意喚起を発表しているので、それらの情報も参考にしてほしい。

各組織の実情に合わせたセキュリティ対策を

　セキュリティ製品の多くは長年、過去に発生した被害の調査結果を元に、攻撃者が用意したマルウェアなどの脅威情報を収集して「ブラックリスト」に登録することで、今後同じような被害が起きないようにする、という考え方に基づいて開発されてきた。しかし、攻撃者はブラックリストの「抜け穴」を狙って攻撃を仕掛けてくる。そのため、「ブラックリスト型のセキュリティ」では対応しきれなかった未知の脅威への対策が重要となる。
 
　サイバー攻撃対策はコストも業務負荷も大きいため、それぞれの組織でできることは変わってくる。どのような対策をとるかは、組織規模のほかに、IT経営ガバナンスやIT経営マインド、IT環境、IT利活用といったそれぞれのIT経営の成熟度に応じて異なるが、重要なのは各組織の実情に合わせたセキュリティ対策を行うということだ。例えば、いきなり全ての対策を行うのではなく、まずはWebの対策から始める、次にメール、その次にファイルという順に、優先順位を付けた上で、段階的に進めていくことも必要だ。
ただ、「何か起こってから対策すれば良い」、「すでに対策したから問題ない」と未知の脅威への対策を先延ばしすることは、大きなリスクである。セキュリティ対策ゼロでは、顧客からの信頼もゼロになり、ブランド価値もゼロとなる時代がきている。セキュリティ対策については必要性を感じているものの、予算が確保できないため後回しとする組織も多い。安心・安全なデジタル社会の実現に向けて、GIGAスクール構想などの子どもたちを守る対策と同様に、いつ始めても手遅れということはない。これからのITの未来に向けて、安心・安全な環境を提供していくことが重要だ。