SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2016 講演レポート

もしも社長がセキュリティ対策を聞いてきたら?経営視点から考える安価で効果的なサイバーセキュリティ対策

 ITだけでなく、経営にとっても最大の課題の1つと認識されつつある「サイバーセキュリティ」。経営とITとで価値観や用語などが異なるために理解に齟齬が生じやすく、それだけに意義や目的、手法等について、経営層に分かりやすく伝えることが求められる。実際にITの専門家が経営層とコミュニケーションをとる際に、どのように考慮し、伝えるべきか。「SecurityOnlineDay2016」の特別講演に登壇した日本マイクロソフト株式会社の蔵本 雄一氏が実体験をもとに解説した。

自社への影響を考え、正しく怖がる

 サイバーセキュリティを考える上で、最も大切なこと。蔵本氏は「正しく怖がること」だという。それを認識していれば、様々なリスクが報告され、様々な対策や製品の情報が流れてくるが、その是非が容易に判断できるという。その上で、経営層と話す際に重要なのが「自社のビジネスにどう影響があるのか」ということだ。どんなに「マルウェア感染を防ぐための予算が欲しい」と言われても、経営層は判断ができない。ライバルや同業者などにどのような影響があったか、事例を紹介しながら、ビジネスへの影響を含ませつつ対策を話すことが重要というわけだ。

日本マイクロソフト株式会社 マイクロソフトテクノロジーセンター
セキュリティアーキテクト 蔵本 雄一氏

 なお、勘違いとして起こりやすいのが、「標的型メール訓練」や検知率の良い「ウイルス対策ソフト」、重要なファイルを「パスワードで保護」といった施策を優先度の高いセキュリティ対策として考えることだ。たとえば、100通以上標的型メールが来て1通開いた結果、最近のサイバー攻撃では横に展開して1万台のパソコンが感染することになる。つまり、標的型メール訓練で10%開いていたのが1%に減ったとしても、いずれにしても被害は大きく、そもそも1%を0%にすることはまず不可能だ。つまり、1000通に1通通ってしまえば意味がない。つまり「開く前提で考える」ことが必要になるというわけだ。

 かつて、攻撃者の目的は自己顕示や技術力の誇示だった。それが近年では金銭目的となっており、フィッシングやランサムウェアなどによって直接的な金銭を得たり、個人情報や技術情報など機密情報を得て現金化したり、様々な形でのマネタイズが行われている。というと「うちはそんな情報はないから大丈夫」という企業もあるが、エンドポイントの遠隔操作権の売買も行われており、犯罪の片棒を担がされる恐れがある。つまり、“踏み台”にされる可能性があるというわけだ。蔵本氏は「被害者になるケースは容易に想像ができる。しかし、加害者として嫌疑をかけられる可能性を忘れてはならない」と語り、さらに「空爆とスナイパー」の例を出して「自分はたいしたことないからスナイパーを雇われる事はない、と思っていたら空爆でやられる可能性がある」と危険性を示唆した。

 近年の攻撃者の「金銭欲」について、蔵本氏は興味深い事例を紹介した。マルウェアに感染するとパソコンが使えなくなり、データを元に戻す代わりに金銭を請求するという攻撃を受けたとする。まず、考える時間を与えないように時間が経つごとに金額がどんどん上がるようになっており、さらにビットコインでの支払いを求め、方法が分からない人には懇切丁寧にサポートデスクまで用意されている周到さだ。中にはファイルを戻す“お試し”が用意されていることもある。そこまでして、とにかく金銭を得たい人が加害者として暗躍していることを忘れてはならない。

ランサムウェアによる支払い要求画面。入金のサポートまで行われている。
※画面はTesla Cryptで既にファイルを元に戻す鍵は公開されているが、サンプルとして参考にしてほしい。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 「今までの対策は、自分たちのネットワークやシステムを“無菌状態”にすることが目的だった。しかし、どんなに無菌状態を作ろうとしても日常生活の中で菌がいなくなることがなく、菌が入ってきても対抗できる力を高めるために体を鍛えたり、薬を飲んだりする。ITセキュリティの世界でも“菌がいるという前提で”対策を考える必要がある」と蔵本氏は強調する。

 実際、企業の9割が脅威が侵入済みといわれており、さらに侵入から1年弱は脅威を検出する事が難しく、さらに、特定の企業を狙ったマルウェアの特注品が攻撃に使用される事もあり、マルウェアの検知が非常に難しい。そのため、「侵入前提の対策が必要」という所以だ。

次のページ
攻撃者の費用対効果を下げる対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8578 2016/11/14 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング