ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ。
あるITマネジャーはWebフィルタリングのおかげで、従業員の1人が勤務中にeBayで商品を販売し、サイドビジネスを行っていることを発見した。勤務時間中にオンラインオークションに目を光らせるというのは特に珍しい話ではないが、この従業員が特別だったのは、会社の倉庫から盗んだ事務用品を販売していた点だ。
もう1つ特筆すべき例としては、社内の賭博用に会社のサーバに手を加え、その後、その成功をさらに発展させてフルスケールのギャンブルサイトを構築した従業員らのエピソードもあった。これらの行為はすべて、社内ネットワークのファイアウォール内で行われた。
これらのエピソードが示しているのは、従業員の抜かりなさだけではない。こうした行為は生産性と帯域幅を消耗するだけでなく、法的およびセキュリティ上のリスクをもたらす。
「セキュリティのプロにとって、ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威は外部から侵入するわけではない。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ」と関係者は語る。
あるITマネジャーはWebフィルタリングのおかげで、従業員の1人が勤務中にeBayで商品を販売し、サイドビジネスを行っていることを発見した。勤務時間中にオンラインオークションに目を光らせるというのは特に珍しい話ではないが、この従業員が特別だったのは、会社の倉庫から盗んだ事務用品を販売していた点だ。
カリフォルニア州オレンジの8e6テクノロジーズのマーケティング担当副社長エリック・ルンドボーム氏は、「われわれも、これはうまいアイデアだと感心した」と皮肉めかして語っている。同社は2月のRSAセキュリティカンファレンスで実施した調査の結果を発表し、その後、ベストストーリー賞を発表している。
同社の社長兼COO(最高執行責任者)、ポール・マイヤー氏は次のように説明している。「eBayで内職をしている人の話は良く聞く。この話が特異だったのは、会社の備品が売りに出されていた点だ」
ベストストーリー賞の第2位には、あるCTOが選ばれた。このCTOの会社では、ランジェリーショップのヴィクトリアシークレットのウェブキャストのせいでネットワークに負荷がかかり過ぎ、社内でサービス拒否(DoS)攻撃が起きてしまった。第3位に選ばれたのは、勤務中にオンラインのコールガールサービスを運営していた女性社員を見つけたインフラマネジャーだ。
もう1つ特筆すべき例としては、社内の賭博用に会社のサーバに手を加え、その後、その成功をさらに発展させてフルスケールのギャンブルサイトを構築した従業員らのエピソードもあった。これらの行為はすべて、社内ネットワークのファイアウォール内で行われた。
「皆のアイデアを見ていると、想像が広がる」とマイヤー氏。同氏は特に憂慮すべき例として、自分の隣のキュービクルにWebカメラを巧みに取り付け、自宅で仕事をしながら同僚をスパイしていた従業員の話を披露した。
これらのエピソードが示しているのは、従業員の抜かりなさだけではない。こうした行為は生産性と帯域幅を消耗するだけでなく、法的およびセキュリティ上のリスクをもたらす。
「セキュリティのプロにとって、ネットワークから悪い輩さえ排除していれば十分という時代は終わった。脅威は外部から侵入するわけではない。脅威はセキュリティ対策を回避できる。なぜなら、内部の人間によって引き起こされるからだ」とマイヤー氏。
アクセス管理ツールメーカーの8e6テクノロジーズ(この社名は、“誰かを追い出す”という意味を持つ「eighty-six someone」というフレーズに由来する)は教育分野で多数の顧客を抱えている。マイヤー氏によれば、そのため、内部者によるリスキーな行為や不正行為に関する優れたテストベッド(検証・評価環境)が提供されているという。「教育分野の顧客は、多くの時間と多くの好奇心を持った非常に創造的なユーザーを相手にしている」と同氏。
8e6テクノロジーズによれば、この9カ月の間に、Webサーファーの正体を隠すために匿名ツールが悪用されるケースが増加している。同社はそれを受けて、オープンソースや一般に公開されているプロクシソフトウェアをパケットレベルで遮断するための機能をURLライブラリに組み込んだ。
「従業員はおそらく、インターネットは無制限のリソースであり、少し濫用したところで犠牲者なき犯罪だと考えているのだろう。セキュリティのプロフェッショナルにとっての難題は、価値あるものとそうでないものとを見分けることだ」とルンドボーム氏は語っている。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
