「簡単にいうと、前年に利用が終わり、管理者がいなくなったサーバーが攻撃された。通常はすべてのITインフラが日々監視される体制を取っているが、管理者不在なので見落とされた。もっといえば、ネットワークにつながっているはずのないサーバーに電源が入っていた。『撤去前設備の管理の甘さが狙われる』というのが、大きな教訓となった」 　不要な設備を「もしかして使うかも」と廃棄しないのは、“もったいない精神”を持つ日本人はとくにやりがちだ。セキュリティを主事業とするNTTコミュニケーションズとしては痛恨の一撃だが、そうしたマインドに警告するため、小山氏は社外でも積極的に発信している。

　「サイバー攻撃者への最大の反撃は情報共有だと思っている。攻撃者は緻密に研究して攻撃をしてくるので、1回目の被害はやむを得ない。でも、すぐに情報共有をすれば、2回目は防ぐことができる。こういう話を聞いた経営者の方が会社に戻ったとき、『ウチもこういう対策をしているか？』という一言につながればいいと思っている」 ■「不便」がシャドーITを生みセキュリティの穴になる 　とはいえ、小山氏も指摘したように、まだセキュリティ対策の必要性を十分に感じておらず、適切な対策ができていない企業もあるだろう。そうした企業は何から始めればいいのか。

　「まずは端末をはじめとしたITインフラを可視化し、管理できていないIT機器をなくすこと。そのうえで、アカウントと端末を適切に管理し、多要素認証を行う。これだけで攻撃者側のコストを相当上げることができる。かなり高度な攻撃者でなければ侵入できまい」 　ここで重要なのは、「例外を認めないこと」と小山氏は力を込める。 　「実際に運用すると、いくらでも例外が出てくる。『このパソコンはグループで使うから多要素認証だとアクセスできない』といった具合だ。そうするとシャドーITが発生して管理の穴ができてしまう。不便になると例外を認めてほしくなるので、不便にならないようユーザビリティーを上げることが重要だ」