適切なセキュリティ対策の実施には、相当な配慮と用心深さが要求される。セキュリティソフトをインストールして設定したら放りっぱなし、というわけにはいかない。セキュリティの専門家にいわせれば、企業が攻撃を受けやすいのは自社のデジタル資産を正しく理解できていないからだという。
Open Web Application Security Project(OWASP)のセキュリティ・コンサルタント兼チーフ・エヴァンジェリスト、Dinis Cruz氏は次のように語る。「今日、我々は多額の金を“セキュリティ”関連の分野に注ぎ込んでいる。だが、ほとんどの場合、その企業の実際のセキュリティレベルには何の効果も及ぼしていない(マイナスの効果を与えていることさえある)。ソフトウェアに関する問題を、さらに多くのソフトウェアで解決しようとしてばかりいるのだ」
SecurityDistroのエディタであるJose Sweeney氏は、リスクはさまざまなところから生じるが、組織のセキュリティに対する最大のリスクは人間の側にある、と考えている。「最高のファイアウォール機器、IPD、アプリケーション・ファイアウォールを揃えても、こうした製品すべてについて徹底的にトレーニングを受けた者がいなければ、役には立たない」
組織が直面する脅威には内的脅威と外的脅威の2種類がある、と話すのはInternational Institute for Training, Assessment, and Certification(IITAC)の常務、Thorsten Schneider博士だ。マルウェア、スパム、ネットワークへの侵入といった外的脅威については十分に理解され、こうした試みはたびたび撃退されている。だが、組織は内的脅威に対する意識の欠如によって被害を受けている。内的脅威の代表的な例が、自作ソフトウェアを許可なくインストールすることで非常に高度なセキュリティシステムを回避したり、送信者不明のメールや添付ファイルを不用意に開けたりする社員だ。
Schneider氏によると、攻撃者はこうした無知につけ込んで危害を及ぼすのだという。大半の企業は、攻撃者の標的になるのがセキュリティ対策ソフトでもファイアウォールでもウイルス防止ソフトでもないことを理解できていない、と彼は話す。ほとんどの場合、攻撃対象になるのは一般のソフトウェアそのものであり、(内的なものも外的なものも含めて)よく知られたセキュリティ上の弱点が攻撃に利用される。
企業が自社の保有するデジタル資産(ソフトウェア)を理解していないことも問題だが、ユーザの個人情報データなど、組織で管理しているデジタル資産(データ)に対する脅威を理解していないと問題はさらに大きくなる、とCruz氏は語る。「抜け目のない(そして利益を優先する)攻撃者なら、スパムの大量送信や外部アプリケーションのインストールによって医療機関のネットワークに障害を発生させるようなウイルス(またはスパイウェア)を書いたりはしない。(むしろ)その病院の財務経営システムを乗っ取ってひと儲けしようとするだろう」