2013年初頭、エリック・ホルダー米司法長官はオンラインでの窃盗に関する報告書を発表しました。この報告書では、企業は2つの範疇に分けられると指摘します。すでにハッキングされており、その事実に気付いている企業と、すでにハッキングされているが、それに気付いていない企業です。
3月、米国家情報長官のジェームズ・クラッパー氏(退役中将)は、連邦議会に出席して次のように述べました。「最重要課題として取り扱うべき新たな脅威が浮上しています。テロや核兵器ではありません。サイバー攻撃です。」クラッパー氏とともに、米サイバー軍を指揮するキース・アレクサンダー大将も姿を見せ、サイバー犯罪は史上最大の富の移転を引き起こすと発言しています。
彼らのような専門家たちが警告するサイバー犯罪の大半は、サイバースパイという形で行われます。かつてのスパイ活動では、別の国のために働いている人物を自国のスパイとしてスカウトする必要がありました。そして、多額の報酬を支払ってわずかな情報を入手するのですが、最終的にスパイは捕らえられて最終的に死刑に処せられるという、とてもまともとは言えない活動でした。しかし、サイバースパイ活動では、スパイは上海やキエフの自宅に居ながらにして米国、ヨーロッパ、日本等の企業にハッキングし、研究開発(R&D)のデータや計画書を狙います。
わたしが最近知った例を紹介しましょう。ある企業が、たった一つのR&Dプロジェクトに8年の歳月と13億米ドルの費用を費やした末、ある日の午後、中国のハッカーグループに侵入され、そのプロジェクトの情報をまるごと盗まれたのです。狙われるのはR&D関連の情報とは限りません。どの企業にも、顧客リストや新製品の計画書などの貴重な情報があります。「そうは言っても、あんなファイアウォール、ウイルス対策システム、侵入防止システムを購入したのだから」と思っているかもしれませんが、そのいずれをもってしても、侵入と重要資産の盗難を阻止できないのが現実なのです。
こうした状況の中、企業がサイバー犯罪やサイバースパイ活動に対抗するにはどうすればよいのでしょうか。まず、より優れた有効なテクノロジーの開発を求める声を上げるべきです。われわれは未だに1998年当時と同じ世代のテクノロジーを使ってネットワークを守っているのです。
クライアントには、水際防御をやめるよう助言しています。ウイルス対策システム、ファイアウォールシステム、侵入検知システムで会社を守れるという考えは捨てるべきなのです。その代わり、会社にとって最も重要な資産、最悪なシナリオとは何か考えるのです。
企業内で何が最も重要な資産か検討する度、CEOの予想とは異なる結論が出ます。もっとも重要な資産は何で、それがどこにあるかを特定したら、そのセキュリティ強化と保護に取り組みます。
最重要資産を特定したら、最悪のシナリオを想定します。それは、その重要な資産を失うことであったり、その他の出来事であったりします。最悪なシナリオを最小限に抑え、防止し、そうした状況が発生した場合は復旧が見込めるよう、システムを設計します。この後は、発生に備えて訓練を積みます。わたしは、侵害を受けて初めて何の計画も立てていなかったことに気付いたという企業をあまりに多く見てきました。何の訓練もしていなかったのです。最初に直面した危機的状況が訓練ではなく本番だったという事態は避けなくてはなりません。惨事が起こる前に取り組んでください。それが起こるのは時間の問題なのですから。
