連載
» 2012年10月29日 08時00分 公開

ITmedia エグゼクティブセミナーリポート:予防策にのみ頼ってはいけない (2/2)

[岡田靖,ITmedia]
前のページへ 1|2       

 標的型攻撃は、メールなどから不正に侵入してツールを仕込み、組織内の端末を外部から遠隔操作、組織内のさまざまな情報を収集して外部サーバへと持ち出していく攻撃だ。手法そのものは以前からあったが、『誰が誰を狙うのか』が変わってきていると氏は指摘する。

 「国家関連機関の仕業ではないかと考えている。その狙いは何か。もし私だったら、相手の不祥事を探すだろう。国や組織の信頼を損ねるような情報がないかどうかだ。有益なのは国家機密や防衛機密などの重要情報ばかりではない。ありとあらゆる内部情報を筒抜けにすれば、ビッグデータとして利用する価値がある。そして情報をいつでも取り出せるような基盤を構築・維持し、別の部署や拠点、さらに交流ある組織などに対して拡張に務める。実際、彼らはそうした基盤の運用管理を日常的に行っており、たまにその運用をミスして、発覚に至ったりもしている」(西本氏)

「自社でも起きる」という意識を

 こうした情報収集基盤として目的を考えると、さまざまな取引関係の繋がりなどを辿って、「まさかウチが」と思っているような企業に対しても標的型攻撃が行われる可能性は充分にあるといえよう。

 「自分のところに火の粉が降ってくる可能性は常に考えるべき。そういう想像力を持たないといけない。『事件は起きるもの』『既に事件は起きている』とした対策になっているかどうか」と西本氏は言う。

 「事件は起きている」となれば、予防策だけでは足りない。ところが、OSやアプリケーションのセキュリティパッチ、あるいはウイルス対策といった、いわゆる「セキュリティ対策」とは、実は侵入を防ぐための入口対策でしかない。侵入されてしまったら、予防策ではなく、ダメージを軽減する防御策が必要となる。

 「もし侵入者を発見したら、従来通りのセキュリティ対策などやっていてはいけない。守るべきものを見極めて、侵入した内通者の出口を封鎖、もしくは厳重警備をし、敵を洗い出さなければならない。封鎖すると内通者は暴れるので発見しやすくなるから、たまに訓練を兼ねてやるといい」(西本氏)

 また、予防策につきものの「正論」のコントロールも重要だと指摘する。「侵入しようとする敵がいるとしても、入ってこさせなければリスクはゼロ。安全だ」といった意見は、確かに正論であるしキレイな策に見え、同調者を得やすい。しかし予防策を徹底しようとすれば費用や管理の負担は膨大なものとなる一方、防御や抑止策への意識が薄れてしまい、そこに隙が生じる。正論は、ほどほどにしておいた方が得策なのだ。

 「自社にとって何が大切なのか、何を守るべきなのか、それを常に再確認しておく必要がある。そして、競争力や成長力、収益性向上に繋がらないような投資はしないこと」(西本氏)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆