高度化する標的型攻撃や内部犯行による漏えい事件に対して、現在どのような対策が必要とされているのか。12月3日に開催した「Security Online Day 2014」では、ハミングヘッズ 顧問の石津広也氏が登壇。最近の脅威事例を振り返りながら、Windows API監視技術を用いたサイバー攻撃対策と、情報漏えい対策について解説した。
「IT犯罪対策としての法律は未整備な部分が多い」
ハミングヘッズ株式会社 顧問 石津 広也氏
あらゆる業務システムのIT化、モバイル端末の普及など、企業のIT依存比率は否応なしに高まりつつある。一方、システム管理の複雑化や高度なシステム人材の必要性も高まっている。ビジネスにおけるシステムの必要性が高まる一方なのに、それを支える仕組みを維持する難易度が上がっているという状況だ。
企業に迫るリスクとして特に課題となるのがIT犯罪対策。近年IT犯罪は遠隔操作や検出を回避する技術など、ますます巧妙に複雑化し、対策を困難にしている。必要な対策をどう講じればいいか。対策の高コスト化も頭の痛い問題だ。潤沢に予算があればいくらでも対策に費用を投じることができるが、現実的には予算は限られている。必要な対策を見極めるには高い知見が必要だ。どこから知見や人材を獲得していけばいいのか。セキュリティ担当者の悩みはつきない。
技術的に難しい部分を法律でけん制するという方法も考えられるが、石津氏は「IT犯罪を前提とした法律はまだ少ない」と法整備について指摘した。つい最近、2014年11月6日にサイバーセキュリティ基本法が可決、成立したものの、まだ基本法でしかない。内閣に「サイバーセキュリティ戦略本部」が設置され、実効性のある取り決めがなされていくのは来年以降だ。実質的には法律が現実的な対策としての役割を果たしていけるのはこれからと考えていい。
実在する法律でIT犯罪に有効なものとなると「不正アクセス行為の禁止等に関する法律」や「不正指令電磁的記録に関する罪」などがあるものの、これらは急速に拡大するIT犯罪すべてを網羅できているとは言えない。公訴時効も3年と短い。そのため現実的には「不正競争防止法」を根拠にするケースが多いという。これなら公訴時効は7年と長く、金銭を目的としたIT犯罪への有効性が高いからだ。石津氏は「IT犯罪対策としての法律は未整備な部分が多い」と現状に苦言を呈する。
この記事は参考になりましたか?
- Security Online Day レポート連載記事一覧
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
