ITセキュリティの責任者を招いたComputer Weeklyラウンドテーブル。そこで明らかになった、問題に横たわる共通のテーマとは?
厳しさを増すサイバー犯罪との戦い。情報セキュリティの担当者は、次々と押し寄せる課題と攻撃に直面している。英Computer Weeklyは、エジンバラでトレンドマイクロと共催したラウンドテーブル討論会にITセキュリティの責任者を招き、職場で直面している問題と脅威への対策について意見を交わした。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年8月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
出席者したのは、英Royal Bank of Scotland(RBS)や英Tesco Bankから、英国森林委員会、Edinburgh Collegeなどの公的団体、Eコマース標準化団体の英Origoの情報セキュリティリーダーたちだ。
事業規模、民間組織か公的組織かといった組織の属性は違っても、討論を通じてさまざまな共通のテーマが見つかった。
オランダに本社のあるKPMGのサイバーレスポンスの責任者、マーティン・ジョーダン氏は、情勢はかつてないほど危険だと警鐘を鳴らす。「銀行が猛攻に対抗できるよう、警察当局はテロ対策からリソースを(サイバーセキュリティへと)移している。これはよい兆候ではない」と同氏は言う。「サイバー犯罪組織は増えている。彼らからの攻撃の増加を覚悟する必要がある」
「攻撃の種類も変わった」と話すのは、トレンドマイクロのセキュリティリサーチ担当副社長のリック・ファーガソン氏だ。
「ここ数年の最大の変化は、標的型攻撃に向かっていることだ。これは恐らく、一般の意識の上でも、この1年半〜2年で最も変わった点だろう。以前優勢だった脅威は、できる限り多くのPCを感染させ、データを手当たり次第手に入れるという、かなり不特定なモデルだった」とファーガソン氏は語る。
「現在はそれが標的型攻撃に変わりつつある。攻撃対象になるのは、特定の個人、組織、企業、またはオンラインゲームのプレーヤーグループなど多岐にわたるが、いずれも選ばれた標的(ターゲット)だ」(ファーガソン氏)
ファーガソン氏は、ソーシャルネットワークは企業にとって問題の1つであるとしながらも、Facebookがもたらす脅威ばかりを取り上げる多くのコメンテーターと異なり、もっと大きなリスクがあると考えている。
「犯罪者がソーシャルネットワークをスキャンして攻撃に使うツールは確かに存在する。だが、多くのセキュリティ企業はFacebookがもたらす脅威ばかりを取り上げる。確かにFacebook上で重要な情報が共有されているが、LinkedInについては無関心だ」とファーガソン氏は指摘する。
「LinkedInはソーシャルネットワークではなく、ビジネスパーソンのためのネットワークと認識されているため、考慮されていないようだ。しかしLinkedInは、新しい職を求める人々のソーシャルネットワークにすぎない」
ファーガソン氏は、わずか20分ほどLinkedInを調べて、ギター熱やスペイン語を話せることなど、ラウンドテーブルの参加者の個人情報を詳らかにし、ソーシャルネットワークとして、LinkedInの情報は誰もが簡単に入手できることを示した。
「社員に関するどのような情報がソーシャルネットワークで公開されているかを考える必要がある」
ビジネス界でのもう1つのトレンドが、モバイル端末だ。モバイル端末は職場に浸透してきている、また、セキュリティ対策を講じなければ大きな脅威になると、参加者は口をそろえる。
「会社のネットワークの中で最も保護が薄く、急速に増えている端末は、スマートフォンだろう。よく使われるBlackhole Exploit Kitは、2012年にバージョン2に更新されている。現時点ではAndroidやiOSを対象とするエクスプロイトは存在しないかもしれないが、誰かがAndroidやiOS端末を使っていることは攻撃者に通知される。次は、これらの端末を対象とするエクスプロイトを作成するだけだ。そうなれば、現在爆発的に普及しているモバイルの、脅威の勢力図は塗り替わる」とファーガソン氏は語る。
モバイル端末に侵入する手段としてアプリを使うケースも増えている。ファーガソン氏によると、トレンドマイクロはAndroidプラットフォームのみを対象とする悪意のあるアプリが2012年末までに13万種類作られると予想したが、それは「救いようのない間違いだった」という。実際にその数は35万種類に上った。
ファーガソン氏はさらに次のようにも話す。「トレンドマイクロは2012年末に、2013年末には悪意のあるアプリの数が100万種類を超えると予想した。だが残念ながら、2日前に手に入れた新しいリポートを見ると、100万というのは控え目だったようだ」
Royal London GroupのIT戦略、アーキテクチャ、ガバナンス部門の責任者を務めるニール・ヘイドン=ダンブルトン氏は、「スタッフがパスワードを書き留めて壁に貼っている(と心配になる)。われわれは保護についていろいろ話すが、どれだけ多くのレガシー資産が企業で使われているかを考える必要がある」と話す。
NHS National Services Scotlandの主席情報開発責任者のジェイミー・グレイ氏も、旧来の問題が頭痛の種であることを認めている。
「NHSで仕事をしていて、多くのリスクが紙ベースであることに気が付いた。患者の記録がベッドの端に置かれているような環境では、依然としてそんなリスクが存在する」とグレイ氏は話す。
ある参加者は、慎重に行動しポリシーに従うのではなく、自分たちの業務をこなすことしか頭にないスタッフの態度こそが、最大のリスクをもたらしていると断じる。
他の参加者もそれに共鳴した。周囲の目に注意しなければ、出張中に飛行機や列車の中で、iPadやスマートフォンで見ている顧客データを隣の乗客に肩越しに読まれる可能性を例として挙げる。
一部の企業では、セキュリティの土壌が整っておらず、業務上の利便性がデータ保護よりも優先されるということが参加者全員の意見だ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...