セキュリティ対策の困難さは中小企業も小規模自治体も一緒なのでは?
こんばんは。Interopの様子がたいへん気になるのですが、大阪在住だと物理的にも経済的にも時間的にもそう簡単に足を運べないのがつらいですよね。(^^;;
さて、今日のネタは福井県池田町の話を少し引きずる形になりますが、中小企業のセキュリティ対策がなかなか進まないのと同じ問題が小規模自治体も共通で抱えているのではないかという話です。
ちょうど今日のITmediaの記事に「中小企業のセキュリティ対策はなぜ難しい?サイバー攻撃から読み解くと…」がありましたので、これを読んでいました。費用が潤沢ではなく、人材もいないという点では中小企業も小規模自治体も共通した問題であることが分かります。仮にたまたまセキュリティエンジニアがいたとしても、それ相応の待遇と環境を用意出来るのか?となると、「厳しい」と答える企業・自治体がほとんどだろうと思われます。「自社で専任社員(職員)を抱えるコストが重い」というのであれば、ネットワーク・セキュリティ部分を複数社で共同管理して按分するという手があるのではないでしょうか。幸いなことにクラウドの進化によって、社内にリソースを置かずに仮想的に自社環境を構築可能になっています。各社毎に仮想NWを作って少数のセキュリティエンジニアで面倒を見るということなら手が届きそうな気がしてきませんか?
同様のことが小規模自治体にも言えるのではないでしょうか。1つの自治体では支えきれなくても、複数自治体が集まれば共同管理も出来ない話ではなさそうです。LGWAN絡みで自治体セキュリティクラウドが構築されるというような話もあります。ここに乗るとなっても、自分の自治体の分はきちんと管理しなくてはなりません。以前も書きましたが、狙われるのは組織規模に関係なく、「狙いやすいかどうか」だと思われます。脇の甘いところに攻撃者は目が行きます。(日本年金機構が狙われたのも納得行きました)
なので、「うちとこのような規模の小さい組織には攻撃者が狙うような美味しい情報はないから心配いらない」という心理状態自体が最大のセキュリティホールだと言っても過言ではありません。
また福井県池田町の話に引き戻しますが、ノーガードでアダルトサイトにアクセス出来てしまう状態自体が攻撃者が狙いたくなるポイントでしょう。間違いなく「楽勝やな♪」などと思われてしまいます。しかも、何の疑いもなく表示された050の電話番号にかけてしまって1時間半傍観しているという話が伝わったら、確実にターゲットにしてくるだろうというのは容易に想像がつきます。
問題は「自分ところの話では済まない」という点です。このへんを当事者の方々がどれだけ深刻に考えているかだろうと思います。「金がないからどうにも出来ない」というのはもう免罪符にはならないということだけは十分肝に銘じておいていただきたいなと常々感じるのでありました。