SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

間違いだらけのサイバー攻撃対策

間違いだらけのサイバー攻撃対策 まとめ

■第9回(最終回)

 これまで8回にわたり企業のサイバー攻撃対策の考え方とその具体策を解説してきた「間違いだらけのサイバー攻撃対策」ですが、今回で最終回となります。締めくくりとして、執筆を担当した各メンバーから本連載の振り返りや言い足りなかった点などをお伝えしていきます。

 

香山:『孫子・謀攻』にある「彼を知り己を知れば百戦あやうからず」という故事・ことわざをご存じでしょうか?「敵についても味方についても情勢をしっかり把握していれば、何度戦っても敗れることはない」がその意味になります。

 「彼を知る」ことを昨今のサイバー攻撃になぞらえれば、「攻撃手法」や「何を狙っているのか」を知ることと言えるでしょうか。そして、この故事・ことわざには続きがあります。その1つが「彼を知らず己を知らざれば、戦う毎に必ずあやうし」です。

 「敵のことも味方のことも知らなければ必ず負ける」がその意味になりますが、必ず負けるパターンは「敵のことも自分自身のことも知らない状況」と言えます。

 本連載では、昨今のサイバー攻撃の傾向、手口やマイクロソフト社内のセキュリティ対策の考え方である多層防御などを参考例として紹介しました。

 これに加えて皆さんに検討いただきたいことは、自社や自組織がいまどのような状況にあるのかを把握するため、客観的なアセスメントを行うことだと考えています。

 セキュリティリスクを定義し、そのリスクに対応した対策を策定し、その対策が実装されており、記録が残る状態になっているかを確認することが重要です。今後の計画の参考にいただければと思います。

高橋:今年は、3月から5月にかけて、OpenSSLのHeatbeet問題、DNSのトップドメインを含んだキャッシュポイゾニング問題、Windows XP/Internet Explorer 6/Office 2003のサポート終了、Apache Strutsの脆弱性など、セキュリティ上の重要なイベントが続きました。

 それぞれが重要な問題ですが、組み合わせによってはインターネットの信頼基盤が揺らぎかねない問題に発展する可能性があります。また、単に更新プログラムを適用するだけでは解決ができない、利用者自身が当事者として問題の本質と影響をしっかりと理解しないと、適切な対策ができない問題でもあります。

 例えば、WebサーバーにHeartbeetの脆弱性があった場合、プログラムの更新だけでは不十分で、証明書の再発行が必要となります。そして、その際には、秘密鍵を変える事が必要になりますが、適切に実施されていないサーバーが多い事も報告されています。

 このような問題に対して、まずは私自身が敏感に反応できるように努めていきたいと考えており、そして様々な機会を通じて問題の影響や対策について、ご紹介していきたいと考えています。

村木: 昨今のセキュリティ脅威の高まりや複雑化から、「これをしておけばすべて安全」といったような画一的対策ではなく、多層防御や、脅威の内容を理解した上での柔軟な対策の必要性を感じられている方は多いと思います。同時に、IT運用を行う上では、急な変更、パッチ適用、ユーザーの利便性の確保も必要であり、実際の対策方法に悩む管理者の方も多いと思います。

 今回、日本マイクロソフトで情報セキュリティに携わる複数のメンバーで執筆しましたが、それぞれ得意分野も異なることもあり、多角的な内容をお届けできたとともに、同時に私自身も様々な角度から考えるよい機会にもなりました。皆さんにセキュリティ対策の悩みを解消するヒントを提供できていれば幸いです。また、今後も様々な機会を通じてご紹介していきたいと思います。

藏本:近年のセキュリティはマーケティングと同様の流れを踏襲し、マーケティングが対象を選ばない「マスマーケティング」から、顧客をセグメント化し、ターゲットを狙う「ターゲットマーケティング」へとシフトしてきたように、セキュリティも攻撃対象を選ばないマス向けの攻撃から攻撃対象を絞るターゲットアタックへとシフトしてきています。その結果、境界領域防御のみによる防御の破綻等、これまでの対策が通用しない時代に突入したと言えます。

 これからは、コストを抑えながらも、より効率的で、より精度の高いセキュリティ対策が求められます。そのためには、セキュリティ対策のアプローチの見直しや脅威の正確な把握が必要となります。今回、我々5人で様々な角度から執筆しましたが、それぞれの内容が皆様のセキュリティ対策の一助となれば幸いです。

小野寺:昨今のセキュリティは今まで以上に現実社会に影響を与え、複雑化し、日々新しい手法で被害が報道され、対応を求められています。

 しかしながら、従来の手法への対応や、セキュリティ上推奨される事項の実施状況を振り返っているでしょうか?今まで、いくつかのセキュリティ事故に関わる機会がありましたが、新しい手法への対処が必要だったケースは多くはありませんでした。

 従来の手法への対処が不十分であったり、行ったはずの対策がシステムやビジネス状況の変化によって形骸化していたりしたことで事故に発展しているケースの方が多かったと感じており、セキュリティは王道といわれる対策をどれだけ確実に実施し、維持するかが肝要だと再認識させられました。

 今回の連載が、多層防御の観点で対策が十分であるかを振り返っていただく機会になってくれれば幸いです。今後も対策の普及とそれを阻害する様々な問題の排除のお手伝いに努めていきます。

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
間違いだらけのサイバー攻撃対策連載記事一覧

もっと読む

この記事の著者

高橋 正和(タカハシ マサカズ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

香山 哲司(カヤマ サトシ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

蔵本 雄一(クラモト ユウイチ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

小野寺 匠(オノデラ タクミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

村木 由梨香(ムラキ ユリカ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5995 2014/07/22 00:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング