2013年08月26日 08時00分 UPDATE
特集/連載

投資する前に“するべきこと”セキュリティ座談会で見えてきた、標的型攻撃対策の重要ポイント

ITセキュリティの責任者を招いたComputer Weeklyラウンドテーブル。そこで明らかになった、問題に横たわる共通のテーマとは?

[Jennifer Scott,Computer Weekly]
Computer Weekly

 厳しさを増すサイバー犯罪との戦い。情報セキュリティの担当者は、次々と押し寄せる課題と攻撃に直面している。英Computer Weeklyは、エジンバラでトレンドマイクロと共催したラウンドテーブル討論会にITセキュリティの責任者を招き、職場で直面している問題と脅威への対策について意見を交わした。

Computer Weekly日本語版 2013年8月21日号無料ダウンロード

0821_120.jpg

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年8月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 出席者したのは、英Royal Bank of Scotland(RBS)や英Tesco Bankから、英国森林委員会、Edinburgh Collegeなどの公的団体、Eコマース標準化団体の英Origoの情報セキュリティリーダーたちだ。

 事業規模、民間組織か公的組織かといった組織の属性は違っても、討論を通じてさまざまな共通のテーマが見つかった。

変わりゆく脅威

 オランダに本社のあるKPMGのサイバーレスポンスの責任者、マーティン・ジョーダン氏は、情勢はかつてないほど危険だと警鐘を鳴らす。「銀行が猛攻に対抗できるよう、警察当局はテロ対策からリソースを(サイバーセキュリティへと)移している。これはよい兆候ではない」と同氏は言う。「サイバー犯罪組織は増えている。彼らからの攻撃の増加を覚悟する必要がある」

 「攻撃の種類も変わった」と話すのは、トレンドマイクロのセキュリティリサーチ担当副社長のリック・ファーガソン氏だ。

 「ここ数年の最大の変化は、標的型攻撃に向かっていることだ。これは恐らく、一般の意識の上でも、この1年半〜2年で最も変わった点だろう。以前優勢だった脅威は、できる限り多くのPCを感染させ、データを手当たり次第手に入れるという、かなり不特定なモデルだった」とファーガソン氏は語る。

 「現在はそれが標的型攻撃に変わりつつある。攻撃対象になるのは、特定の個人、組織、企業、またはオンラインゲームのプレーヤーグループなど多岐にわたるが、いずれも選ばれた標的(ターゲット)だ」(ファーガソン氏)

企業環境に対する脅威

 ファーガソン氏は、ソーシャルネットワークは企業にとって問題の1つであるとしながらも、Facebookがもたらす脅威ばかりを取り上げる多くのコメンテーターと異なり、もっと大きなリスクがあると考えている。

 「犯罪者がソーシャルネットワークをスキャンして攻撃に使うツールは確かに存在する。だが、多くのセキュリティ企業はFacebookがもたらす脅威ばかりを取り上げる。確かにFacebook上で重要な情報が共有されているが、LinkedInについては無関心だ」とファーガソン氏は指摘する。

 「LinkedInはソーシャルネットワークではなく、ビジネスパーソンのためのネットワークと認識されているため、考慮されていないようだ。しかしLinkedInは、新しい職を求める人々のソーシャルネットワークにすぎない」

 ファーガソン氏は、わずか20分ほどLinkedInを調べて、ギター熱やスペイン語を話せることなど、ラウンドテーブルの参加者の個人情報を詳らかにし、ソーシャルネットワークとして、LinkedInの情報は誰もが簡単に入手できることを示した。

 「社員に関するどのような情報がソーシャルネットワークで公開されているかを考える必要がある」

モバイルセキュリティ

 ビジネス界でのもう1つのトレンドが、モバイル端末だ。モバイル端末は職場に浸透してきている、また、セキュリティ対策を講じなければ大きな脅威になると、参加者は口をそろえる。

 「会社のネットワークの中で最も保護が薄く、急速に増えている端末は、スマートフォンだろう。よく使われるBlackhole Exploit Kitは、2012年にバージョン2に更新されている。現時点ではAndroidやiOSを対象とするエクスプロイトは存在しないかもしれないが、誰かがAndroidやiOS端末を使っていることは攻撃者に通知される。次は、これらの端末を対象とするエクスプロイトを作成するだけだ。そうなれば、現在爆発的に普及しているモバイルの、脅威の勢力図は塗り替わる」とファーガソン氏は語る。

 モバイル端末に侵入する手段としてアプリを使うケースも増えている。ファーガソン氏によると、トレンドマイクロはAndroidプラットフォームのみを対象とする悪意のあるアプリが2012年末までに13万種類作られると予想したが、それは「救いようのない間違いだった」という。実際にその数は35万種類に上った。

 ファーガソン氏はさらに次のようにも話す。「トレンドマイクロは2012年末に、2013年末には悪意のあるアプリの数が100万種類を超えると予想した。だが残念ながら、2日前に手に入れた新しいリポートを見ると、100万というのは控え目だったようだ」

人的要素

 Royal London GroupのIT戦略、アーキテクチャ、ガバナンス部門の責任者を務めるニール・ヘイドン=ダンブルトン氏は、「スタッフがパスワードを書き留めて壁に貼っている(と心配になる)。われわれは保護についていろいろ話すが、どれだけ多くのレガシー資産が企業で使われているかを考える必要がある」と話す。

 NHS National Services Scotlandの主席情報開発責任者のジェイミー・グレイ氏も、旧来の問題が頭痛の種であることを認めている。

 「NHSで仕事をしていて、多くのリスクが紙ベースであることに気が付いた。患者の記録がベッドの端に置かれているような環境では、依然としてそんなリスクが存在する」とグレイ氏は話す。

 ある参加者は、慎重に行動しポリシーに従うのではなく、自分たちの業務をこなすことしか頭にないスタッフの態度こそが、最大のリスクをもたらしていると断じる。

 他の参加者もそれに共鳴した。周囲の目に注意しなければ、出張中に飛行機や列車の中で、iPadやスマートフォンで見ている顧客データを隣の乗客に肩越しに読まれる可能性を例として挙げる。

 一部の企業では、セキュリティの土壌が整っておらず、業務上の利便性がデータ保護よりも優先されるということが参加者全員の意見だ。

では何をすべきか?

続きはComputer Weekly日本語版 2013年8月21日号にて

0821_80.jpg

本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。


この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news083.jpg

「アドエビス」が「モニプラ」と連携、ユーザー行動×定性データの施策評価が可能に
ロックオンは、「アドエビス」において、「モニプラ」と連携すると発表した。

news057.jpg

6秒動画に特化した動画広告配信サービス「BumVi」、ジーニーとトレンダーズが提供
ジーニーはトレンダーズと共同で、6秒動画に特化した新しい動画広告配信サービス「BumVi...

news055.jpg

トランスコスモス、Salesforceと連携したレコメンドダイレクトメール「レコレタ」を提供
トランスコスモスは、Salesforceと連携し、顧客セグメントに応じて紙のダイレクトメール...