セキュリティ対策の考え方
― サイバー犯罪はすごく儲かることがよくわかりました。これを踏まえて、どう対策するか、みたいな話もセミナーではされるんですね。
蔵本 はい。昔は攻撃を受けないようにしようとしていた。でも今は、お話してきた通り、なんだかんだで攻撃を全部防ぐのは難しいわけですね。で、先ほどお話した通り、攻撃者は攻撃に投資すると儲かるから攻撃をする。という事は、攻撃者の1425%っていう高い費用対効果を下げるっていうことを考えないとダメなんですよね。だからセキュリティ対策って何を目指すのか?って聞かれた時に、「攻撃がくるんでとにかくそれを防ぐんです」というのではなくて、「攻撃者の費用対効果を下げる」という事を目標の一つにするのは合理的だと思います。後は、じゃあどうやって攻撃者の費用対効果を下げたらいいのかって話になるわけですけど、そのあたりも詳しくセミナーでお話していきます。
― 実際のサイバー攻撃もデモンストレーションで見ることができるんですよね。
蔵本 ええ。お見せします。サイバー攻撃の流れっていうのはほとんど変わっていないんですね。同じです。まず攻撃メールがきて、PCがウイルスに感染して、別のPCに感染が拡大して機密情報が持ち出されると、この流れですね。で、攻撃の初動であるメールを防ごうとして、怪しいメール開くなっていう話が出てくるわけですね。
― でも、全然怪しいメールじゃないんですよね、最近の怪しいメールは(笑)。
蔵本 はい。どれくらい怪しくないか(笑)、巧妙にできているか、そのあたりもお見せしたいと思います。ぱっと見で「このメール怪しいんちゃうか!」って人はエスパーか脳みそがCPUだと思います。サイバー攻撃をざっくり「1.メールが飛んでくる」「2.PCがマルウェアに感染する」「3.マルウェアが感染を広げる」「4.機密情報が持っていかれる」の4つに分けて考えると、1.か2.で防がないと考えてた人が多いと思うんですけど、仮に情報漏えいを心配するのであれば、4.が起きなければいいんで、1.~4.のどこで防いでもいい訳ですよね。リスクを段階的に低減していく方法についてもお話していきます。
― ざっとお話を訊いただけでも、わくわくしてきました!今日はありがとうございました。セミナーも楽しみにしております。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
マイクロソフトテクノロジーセンターにて、サイバーセキュリティの教育、啓蒙、意識改革に活躍する蔵本雄一氏自身による、マネージャー経験を元に編み出されたスキルセットを伝授します。蔵本氏が実際のサイバー攻撃のデモンストレーションを交えて具体的に解説することで、経営層に「何を伝えれば良いのか」「どう伝えれば良いのか」を2時間で理解する事ができます。翌日の会議からすぐに使えるテクニック満載です。セキュリティ担当者、マネジメントの方にお勧めの講座です。ぜひご参加ください!
詳細・参加申込
http://event.shoeisha.jp/seminar/20170414
プログラム紹介
1.何を伝えればよいのか
(セキュリティの現状と対策方針を踏まえて経営層に対して伝えるべきポイントを理解する事ができます。また、実際のサイバー攻撃を見る事でより具体的に理解が深まります。)
1-1.セキュリティの現状認識と対策方針
- セキュリティの現状
- セキュリティ対策の方針
- 4つのフェーズで対策
- サイバー攻撃の費用対効果を下げる対策
1-2.実際のサイバー攻撃を見てみよう
- サイバー攻撃のデモ
- 対策のポイント
2.どう伝えればよいのか
(経営層と会話する際に意識すべきポイントを理解する事ができます。経営層から「マルウェアとは何だ?」「それは当社にどんな影響があるのか?」「セキュリティ対策の予算を省きたい」といったよくある話が出ても経営層に理解してもらえるような回答ができるようになります。)
2-1.経営層と会話する際のポイント・会話のプロトコル
- ビジネスインパクト
2-2.セキュリティ対策の見える化
- 見える化技法
- 認識のすり合わせ
