SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Day 2016 講演レポート

もしも社長がセキュリティ対策を聞いてきたら?経営視点から考える安価で効果的なサイバーセキュリティ対策

できるだけ安価かつ効果的に、ポイントをおさえたセキュリティ対策を

 それでは「結局、何を守ればいいのか」。その問いに対し、蔵本氏は、「攻撃の着弾点となるパソコン」「被害拡大の要因となるID」そして、「データを第三者が読めないように」の3点をあげる。他のレイヤーも有効であり、必要だが、まずはこの3点が大きな費用対効果を期待できるという。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 「サイバー攻撃対策とワークスタイル変革とは関係性が深く、予算の取り方としてもセキュリティではなく、ワークスタイル変革とすることも可能だろう。ノートパソコンを置き忘れても情報漏洩しない仕組みを導入すれば、必然的にワークスタイルも変えられる。そうした発想で経営陣と話せば、予算の出所も様々な可能性が考えられる」(蔵本氏)

 企業のセキュリティはコストとの戦いだ。時間とお金をかければ、容易にセキュリティ対策は可能かもしれない。とはいえ、費用を掛ければ掛けた分だけ絶対に改善されるとは限らない。どんなものが自社には必要で、どのくらい安価におさえつつ、どのくらい効果をあげられるか。そこを考えるのが重要というわけだ。

 そのために、蔵本氏は「サイバー攻撃の流れ」を理解する必要があるという。非公開のメールアドレスに対して個別の宛名が書かれた攻撃メールがくることもある。つまり、事前調査がかなりしっかりなされているということだ。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 今はまだおかしな言葉遣いをしている攻撃メールが飛んでくることも少なくないが、洗練されていくことは間違いない。また、マルウェア自体を添付でつける場合でも、アイコンの偽装等、ユーザーを視覚的に騙すテクニック等を使用されると「怪しいメールは開くな」といわれても、なかなか徹底できないのは当然のことだろう。

 そうしてハッキングに成功した後はIDアカウントを抜き、隣のパソコンへと浸蝕していく。この時に多く使われるのが、キッティングの際に使われた共通のIDとパスワードだ。サイバー攻撃では、ごく一般的な手法なので、自社のPCをキッティングする際に使用しているIDパスワードが全台同一の場合は大急ぎで変更する必要がある。このようにメールが着弾して組織のPC全体に広がるまでの時間の平均はわずかに8時間。さらに平均48時間後にはドメインごと乗っ取られる可能性がある。蔵本氏は、標的型メールで1台が感染し、横に展開していく様子をシミュレーションしてみせ、さらに暗号化された圧縮ファイルの暗号解読を2秒で行う方法を見せた。

 それでは、パソコンを感染させない方法はないのか。手法の1つとして、蔵本氏は「ホワイトリスト」を勧める。つまり、許可されたアプリケーションのみが動作可能となり、それ以外は使えないというものだ。たとえばOfficeのみOKとなっていれば、他のアプリケーションが立ち上がろうとしても難しい。また、ID とパスワードを抜けないようにIDパスワードの盗難防止ソリューションを導入したり、IDパスワードの不正利用を検知するソリューションを導入するのも効果的だろう。1万台を守ろうとするとお金も時間がかかる。そこで、入ってきても横展開しにくく、早期検知し、被害を極小化していくソリューションが有効だという。

 それでは、機密情報を取得しようとする動きからはどのように守るべきか。まず、要因として「ファイルサーバーの使用」がある。IDとパスワードが盗まれたら、一気にフリーパスになってしまい、入り放題となってしまう。そこで、電話認証を有効にしたポータルの利用などの対策法が有効だ。つまり、IDパスワードでアクセスすると、登録した電話番号へコールバックがあり、その認証のもとファイルを取得できるというものだ。また、ファイルの暗号化についても、IDと紐づいた認証を必要とする手法を用いることで、容易にアクセスできないようにすることができる。つまり、スマートフォンを併用した多要素認証だ。電話以外にもアプリやSMSを利用した認証ももちろん効果的だ。

 また、データのバックアップも重要であり、万一ランサムウェアによる妨害があっても、すぐに全部をクリアにしてバックアップからもとに戻せばいい。そうした「事故にあうことを前提に」被害を縮小する方策を取っておくことで、セキュリティ対策そのものの精度が向上するというわけだ。

 こうしたセキュリティ施策の優先度のために、蔵本氏は定量リスク分析手法として、製造業で活用されているFMEA(Failure Mode and Effect Analysis)を紹介した。つまり、影響度に発生頻度や防御困難度を掛け合わせることでリスク値を出し、それが高いものほど優先度が高いとするものだ。

 最後に蔵本氏は「セキュリティは重要な経営課題であり、コストは重要な課題。どうしたらコストを減らしつつ、最も有効な手が打てるのか、それを考えながら取り組んでいただきたい」と強調した。

PREV

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8578 2016/11/14 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も NEW
  2. 2
    「SP800-171対応は防衛産業だけの課題ではない」 EY西尾氏が説く最新動向と今すぐできる対策 NEW
  3. 3
    人気資格ランキングの常連「AWS SAA」の保有メリットとは──合格に向けた3つのポイント NEW
  4. 4
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  5. 5
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  6. 6
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ
  7. 7
    SAP移行問題の要点と留意点をガートナーに聞く──「SAP 2027年問題」はどこまで解決したのか?
  8. 8
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    「AIガバナンスは経営戦略」 産官学の視点で示す、ガイドラインを事業活動に落とし込む“実践知”
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  3. 3
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  4. 4
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  5. 5
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  8. 8
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も NEW
  2. 2
    「SP800-171対応は防衛産業だけの課題ではない」 EY西尾氏が説く最新動向と今すぐできる対策 NEW
  3. 3
    人気資格ランキングの常連「AWS SAA」の保有メリットとは──合格に向けた3つのポイント NEW
  4. 4
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  5. 5
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  6. 6
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ
  7. 7
    SAP移行問題の要点と留意点をガートナーに聞く──「SAP 2027年問題」はどこまで解決したのか?
  8. 8
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    「AIガバナンスは経営戦略」 産官学の視点で示す、ガイドラインを事業活動に落とし込む“実践知”
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  3. 3
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  4. 4
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  5. 5
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  8. 8
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略