予防策にのみ頼ってはいけない:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
9月11日に開催された第24回 ITmedia エグゼクティブセミナーの基調講演で、ラックの西本氏は情報セキュリティの最新トレンドについて語った。
標的型攻撃は、メールなどから不正に侵入してツールを仕込み、組織内の端末を外部から遠隔操作、組織内のさまざまな情報を収集して外部サーバへと持ち出していく攻撃だ。手法そのものは以前からあったが、『誰が誰を狙うのか』が変わってきていると氏は指摘する。
「国家関連機関の仕業ではないかと考えている。その狙いは何か。もし私だったら、相手の不祥事を探すだろう。国や組織の信頼を損ねるような情報がないかどうかだ。有益なのは国家機密や防衛機密などの重要情報ばかりではない。ありとあらゆる内部情報を筒抜けにすれば、ビッグデータとして利用する価値がある。そして情報をいつでも取り出せるような基盤を構築・維持し、別の部署や拠点、さらに交流ある組織などに対して拡張に務める。実際、彼らはそうした基盤の運用管理を日常的に行っており、たまにその運用をミスして、発覚に至ったりもしている」(西本氏)
「自社でも起きる」という意識を
こうした情報収集基盤として目的を考えると、さまざまな取引関係の繋がりなどを辿って、「まさかウチが」と思っているような企業に対しても標的型攻撃が行われる可能性は充分にあるといえよう。
「自分のところに火の粉が降ってくる可能性は常に考えるべき。そういう想像力を持たないといけない。『事件は起きるもの』『既に事件は起きている』とした対策になっているかどうか」と西本氏は言う。
「事件は起きている」となれば、予防策だけでは足りない。ところが、OSやアプリケーションのセキュリティパッチ、あるいはウイルス対策といった、いわゆる「セキュリティ対策」とは、実は侵入を防ぐための入口対策でしかない。侵入されてしまったら、予防策ではなく、ダメージを軽減する防御策が必要となる。
「もし侵入者を発見したら、従来通りのセキュリティ対策などやっていてはいけない。守るべきものを見極めて、侵入した内通者の出口を封鎖、もしくは厳重警備をし、敵を洗い出さなければならない。封鎖すると内通者は暴れるので発見しやすくなるから、たまに訓練を兼ねてやるといい」(西本氏)
また、予防策につきものの「正論」のコントロールも重要だと指摘する。「侵入しようとする敵がいるとしても、入ってこさせなければリスクはゼロ。安全だ」といった意見は、確かに正論であるしキレイな策に見え、同調者を得やすい。しかし予防策を徹底しようとすれば費用や管理の負担は膨大なものとなる一方、防御や抑止策への意識が薄れてしまい、そこに隙が生じる。正論は、ほどほどにしておいた方が得策なのだ。
「自社にとって何が大切なのか、何を守るべきなのか、それを常に再確認しておく必要がある。そして、競争力や成長力、収益性向上に繋がらないような投資はしないこと」(西本氏)
関連記事
- 「想定外」に企業が対応するための勘所とは 安井あらた基礎研究所所長
- 今の日本に必要なリーダーは「狩猟」か「農耕」か? 佐々淳行氏
- 今、その成功から何を学ぶか
- 絶え間ざる自己否定で事業ビジョンを実現――セコムの木村昌平会長
- デジタル時代の処方箋――日本人の美徳が裏目に出る時代を生き抜くために
- 復興を越えた、日本再生へのシナリオとは──クオンタムリープ 出井伸之代表取締役
- 挑戦し続け世界の個人投資家を顧客に持つ証券会社へ――マネックス証券 松本社長
- 真のグローバルカンパニーを目指して――HOYAの浜田宏COO
- 化粧品業界に新風を吹き込み続けたい――イプサの堀社長
- 「世界のスタンダードに合わせた戦略を」――カルビー・松本会長
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.