SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「罰」ではなく「共感」を―フェイスブックCSOがBlack Hatで力説した「セキュリティプロの心得」


 2017年7月26日から2日間、米ラスベガス「マンダレイ・ベイ・リゾート・アンド・カジノ」において、世界最大の情報セキュリティカンファレンス「Black Hat USA 2017(以下、Black Hat)」が開催された。今年で20周年を迎える同カンファレンスには、世界80カ国から1万5000人以上が参加。Black Hatの創設者であるJeff Moss(ジェフ・モス)氏は、「当初は参加者が車座になって話し合う井戸端会議のような雰囲気で、講演も知人のツテを頼って登壇してもらっていた。それが今では、250を超える企業が参加し、約150のセッションが開催されるようになった」と振り返る。

世界80カ国から1万5000人以上が参加。基調講演会場となったアリーナはコンサート会場のような盛り上がりだった
世界80カ国から1万5000人以上が参加。
基調講演会場となったアリーナはコンサート会場のような盛り上がりだった

 この20年で、日本からの参加者も増加してきた。ある出展企業関係者は、「われわれが把握しているだけでも日本からの参加者は100人以上」と語る。Black Hatには第一線で活躍しているセキュリティ専門家が一堂に会するため、情報収集だけでなく、人脈作りや情報交換の場としても有益だという。

 7月26日のオープニング基調講演冒頭に登壇したMoss氏は、「Black Hatは20年の歴史を刻んだが、セキュリティ業界はまだ若い業界だ。今後の20年も、その規模や網羅すべき範囲が拡大することは間違いない」とコメント。「われわれは、セキュリティ・コミュニティの成長を支援すべく、(セキュリティ)人材育成に注力する必要がある。(中略)今後、あらゆるモノがつながる状況においては、『デフォルトで安全』な環境を構築しなければならない。その責任はわれわれにある」と、参加者に訴求した。

Black Hatの創設者であるJeff Moss(ジェフ モス)氏は20年の歴史を振り返り「開催当初は20年も続くとは誰も考えていなかった」と感慨深げに語った
Black Hatの創設者であるJeff Moss(ジェフ モス)氏は20年の歴史を振り返り、
「開催当初は20年も続くとは誰も考えていなかった」と感慨深げに語った

乖離する、セキュリティ“プロ”とエンドユーザー

 続いて登壇した米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務めるAlex Stamos(アレックス ステイモス)氏は、現在のインターネット業界が直面しているセキュリティの課題とその対策を指摘。Facebookが会社を挙げてインターネットセキュリティの向上に取り組む姿勢を強調した。

米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務めるAlex Stamos(アレックス ステイモス)氏
米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務める、
Alex Stamos(アレックス ステイモス)氏

 「セキュリティ専門家はゼロデイ攻撃や自動車のハッキング、自動支払機(ATM)の乗っ取りなど、最先端のセキュリティインシデント事例に目を向け、その脆弱性を詳らかにしようとしている。しかし、脆弱性が発見された後に発生する混乱に対してあまり目を向けていない」―Stamos氏はセキュリティ専門家と一般ユーザーの“乖離”に警鐘を鳴らす。

 マルウエアの蔓延や情報漏えい、フィッシングなどによる金銭盗取の多くは、ユーザーが“正しいセキュリティ対策”を講じていれば被害に遭うことはほとんどないと同氏は指摘する。うっかりミスをするユーザーや危機意識の低いユーザー、そして十分なセキュリティ対策を講じていないユーザーに対して、セキュリティ専門家は「救いの手を差し伸べるのではなく罰する傾向にある」(Stamos氏)。必要なのは、「罰」よりも、エンドユーザーを理解するという、「共感」だというのが、同氏の見解だ。

 「現在のサイバー攻撃は、インターネットだけにとどまらず、社会安全保障の問題や重要インフラ、さらには民主主義に対しても日々続いている。(中略)そうした状況ではミスを罰するような姿勢は妥当ではない」(Stamos氏)

サイバー攻撃のヒエラルキー。セキュリティ侵害を引き起こす“脆弱性”は、うっかりミスやパスワードの使い回しが大半だが、セキュリティ専門家はゼロデイ攻撃など最先端の脆弱性に全力投入する傾向があるという
サイバー攻撃のヒエラルキー。
セキュリティ侵害を引き起こす“脆弱性”は、うっかりミスやパスワードの使い回しが大半だが、
セキュリティ専門家はゼロデイ攻撃など最先端の脆弱性に全力投入する傾向があるという

 Stamos氏は、「Security Nihilism(セキュリティ ニヒリズム)」という新たな概念を紹介した。これは、攻撃者優位の状況から「すべての攻撃者が完璧であることを想定し、最悪のシナリオやセキュリティ対策上で妥協しなければならない部分は、すべて脆弱性と見なす」という考えである。多くのセキュリティ専門家はSecurity Nihilismに囚われて対策を講じるが、その姿勢が一般ユーザーとの乖離を引き起こす一因になっていると指摘した。

次のページ
セキュリティ業界に必要なのは多様性

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

鈴木恭子(スズキキョウコ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9646 2017/08/17 15:01

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング