サイバー攻撃は現実の脅威――ヤフーだけが特別ではなくすべての会社が対象：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[山下竜大，ITmedia]

　9月10日に開催された「第31回 ITmedia エグゼクティブセミナー」の基調講演に、ヤフー 社長室 リスクマネジメント室 プリンシパルである高元伸氏が登場。「セキュリティリスクをどう管理する その対策は何故するのか」をテーマに講演した。

企業にダメージを与えるセキュリティ事故

ヤフー 社長室 リスクマネジメント室 プリンシパルの高元伸氏

　「サイバー攻撃は現実の脅威であるということを認識しなければならない。ヤフーが特別というわけではなく、すべての会社がセキュリティリスクをどう管理するかを考えておく必要がある」と高氏は語る。

　サイバー攻撃が経営にどのようなリスクをもたらすかは攻撃によっても異なるが、いかに柔軟かつ迅速にリスクに対処するかが重要になる。また外部からの攻撃だけでなく、内部の犯罪についても意識しておくことが必要である。

　セキュリティ事故の影響としては、顧客の信用の失墜や経済的な損失などが挙げられる。また対策のための人的リソースや、対策にかかる時間の浪費により、新たなサービスの提供までのスピードが鈍ってしまうため、企業にとっては大きなダメージとなる。

　例えばヤフーでも、2013年4月にポータルサイトを管理するシステムへの不正アクセスを検知した。このときデータの漏えいはなかったものの、ユーザー情報の一部を抽出する不正プログラムを遮断しなければならなかった。

　また2013年5月には、別の方法による不正アクセスを再度検知した。このときには、最大で2200万件のユーザーIDと、149万件の不可逆暗号化されたパスワードおよび関連情報が流出した可能性があった。

　さらに2013年10月には、ゼロデイ攻撃を検知。サービスやユーザーへの影響はなかったものの、社内用の管理サーバ上でのパスワードダンプを検知。分析の結果、マルウェア感染と水のみ場攻撃を確認している。

　「最悪のケースは、攻撃者が踏み台端末から侵入し、システム管理者の権限を奪取して、顧客データベースに侵入すること。被害を認識した顧客からの問い合わせで不正アクセスが発覚し、さらに詳細の調査が困難で、お詫びの記者会見に発展することだ」（高氏）。

　高氏は、「必要なのは、顧客データベースへの侵入を検知したら、情報抽出プロセスを早期に停止し、影響範囲の分析を行って、迅速に情報を開示し、再発の防止と監視強化に努めることだ」と話している。

3つのフェーズでリスクをマネジメント

　ヤフーがサイバー攻撃から学んだのは、100％の防御はできないということである。またリスクを管理するためには、単一のソリューションでは対処が難しく、技術だけでも解決できないということ。さらに技術部門やセキュリティ部門だけの対策ではなく、企業全体として取り組まなければならない。

　具体的な取り組みとしては、「監視と防御」「対処と分析」「消火と開示」という3つのフェーズでリスクをマネジメントすること。まず監視と防御では、すべての事象をフィルタリングすることは難しいことを理解しておく必要がある。高氏は、「現時点で最新のセキュリティ製品を導入しても、完全に侵入を防ぐことはできない」と言う。

　「セキュリティ製品が役に立たないといっているのではなく、セキュリティ製品で防げるものは防ぎ、そこをすり抜けてくる攻撃をいかに防ぐかに注力することだ。セキュリティ対策を行う場合、その対策を何のために行うのか、どのような効果を期待するのかを明確にしておくことが重要になる」（高氏）。

　例えば、マルウェア検知やパスワード認証などは、絶対に必要な対策のひとつである。両方とも破られるという前提のもとに対策することが重要になる。情報分析は有効だが、難しいのは人間が介在することである。高度な技術をどう使いこなすのかを両輪で考えなければ効果は期待できない。対策ツールの活用以上に対策チームの質の向上が重要になる。