SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Press

企業は増え続ける脆弱性に対処できるのか? カギを握るセキュリティリーダーの役割と対策の第一歩

軍や防衛産業を経てサイバー歴約30年、Tenableの最高セキュリティ責任者が日本企業へ提言

攻撃者はクラウド防御を「破る」のではなく「通り抜ける」

──世間では、クラウドへの移行やAIの導入が相次いでいます。CSOの立場から、この潮流の中で注視していることはありますか。

フーバー氏:効率性や投資収益率を求める組織によって、AIやクラウドなどの最新テクノロジーが導入されていく際、専門家である私たちが直面するのは、それらの技術が「ユーザーの教育・知識獲得を上回るスピードで進化している」問題です。たとえば、クラウドやAIはどのように保護すればよいのか。多くの人が十分な教育を受けておらず、包括的にはキャッチアップできていない現状があります。そのため、新たなテクノロジー市場への参入ニーズと、そのテクノロジーの保護能力とのバランスを上手く取ることが課題となっています。

 正直、これらの最新テクノロジーにおける教育や認識、保護能力を包括的にキャッチアップしていくのは簡単ではありません。だから、攻撃者にとっては容易な標的となりやすいです。特にアイデンティティ(ID)は狙われやすく、多くの場合、ユーザーが技術を使いこなすよりも、その弱点を攻撃・侵害するほうが圧倒的に簡単なのです。

 AIの脆弱性については、まだ多くの研究が進行中の段階です。これまで、AIにおいて確認されている攻撃としては、データポイズニングや学習データの操作、情報漏洩などがあります。クラウドセキュリティの分野で確認できているインシデントの一つとしては、公開したくない情報が世界中に露出してしまうデータ漏洩の問題があります。

──そのようなインシデント被害に遭った企業に、何か共通の問題は見られましたか。

フーバー氏:最も目立っているのは、アイデンティティの脆弱性ですね。IDを狙った攻撃や認証情報の侵害は、比較的容易に実行できるため被害にも遭いやすいです。今の時代、インターネットで誰かについて検索すれば、その人のメールアドレスを簡単に見つけることができます。さらにダークウェブなどのアンダーグラウンドまで探せば、不正に入手されたパスワードの情報が公開されていることもあります。

 米国では、多くのユーザー名とパスワードが定期的に流出しているため、攻撃者はユーザーが他の場所でも同じパスワードを使用している可能性に期待し、再利用を試みるのです。IDが侵害されると、そのままクラウド上の重要な資産にアクセスされてしまう可能性があります。

 これが、直近で急増している攻撃の手口です。クラウドそのものは何重ものセキュリティ対策で堅牢化されている場合が多いため、そこを直接攻撃するよりも、ユーザーのアクセス権を悪用してクラウドに侵入するほうが容易なのです。

──何か早急に打てる対策はないのでしょうか。

フーバー氏:新たな技術やソリューションはどんどん出てきていますが、最も基礎となる対策として、既知の脆弱性へのパッチ適用をまずは徹底すべきでしょう。長年言われていることですが、できていない企業が多いというのが現状です。

 とはいえ、実際にやるのは難しいということも承知しています。脆弱性には組織内でプライオリティ(優先順位)をつけて対処していく必要がありますが、これにはある程度の手間と時間がかかります。ITシステムの管理者は、本業であるシステムの保守業務を行いながら、脆弱性に対応するためのパッチ適用もこなさなければなりませんからね。ただ、複数の攻撃要素から防御するための基本的な手段として、もはや欠かしてはならない施策になってきているのも事実です。

 アイデンティティセキュリティは、セキュリティ実務者にとっても比較的新しい分野ですが、組織内のユーザーが不適切な行為をしていないか、また職務に必要以上の特権やアクセス権を持っていないかを確認することは、今後ますます重要になっていくでしょう。

次のページ
生成AIで攻撃者はさらに進化……防御側は使いこなせるか?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

名須川 楓太(編集部)(ナスカワ フウタ)

2022年よりBiz/Zineで取材編集や執筆を担当。2024年4月、EnterpriseZine編集部に加入。サイバーセキュリティ、データ・テクノロジーに携わる方、テクノロジーによる変革を牽引するCIOやCDO、CISOに向けた情報を発信します。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20281 2024/10/30 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング