ITセキュリティの責任者を招いたComputer Weeklyラウンドテーブル。そこで明らかになった、問題に横たわる共通のテーマとは?
厳しさを増すサイバー犯罪との戦い。情報セキュリティの担当者は、次々と押し寄せる課題と攻撃に直面している。英Computer Weeklyは、エジンバラでトレンドマイクロと共催したラウンドテーブル討論会にITセキュリティの責任者を招き、職場で直面している問題と脅威への対策について意見を交わした。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年8月21日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
出席者したのは、英Royal Bank of Scotland(RBS)や英Tesco Bankから、英国森林委員会、Edinburgh Collegeなどの公的団体、Eコマース標準化団体の英Origoの情報セキュリティリーダーたちだ。
事業規模、民間組織か公的組織かといった組織の属性は違っても、討論を通じてさまざまな共通のテーマが見つかった。
オランダに本社のあるKPMGのサイバーレスポンスの責任者、マーティン・ジョーダン氏は、情勢はかつてないほど危険だと警鐘を鳴らす。「銀行が猛攻に対抗できるよう、警察当局はテロ対策からリソースを(サイバーセキュリティへと)移している。これはよい兆候ではない」と同氏は言う。「サイバー犯罪組織は増えている。彼らからの攻撃の増加を覚悟する必要がある」
「攻撃の種類も変わった」と話すのは、トレンドマイクロのセキュリティリサーチ担当副社長のリック・ファーガソン氏だ。
「ここ数年の最大の変化は、標的型攻撃に向かっていることだ。これは恐らく、一般の意識の上でも、この1年半~2年で最も変わった点だろう。以前優勢だった脅威は、できる限り多くのPCを感染させ、データを手当たり次第手に入れるという、かなり不特定なモデルだった」とファーガソン氏は語る。
「現在はそれが標的型攻撃に変わりつつある。攻撃対象になるのは、特定の個人、組織、企業、またはオンラインゲームのプレーヤーグループなど多岐にわたるが、いずれも選ばれた標的(ターゲット)だ」(ファーガソン氏)
ファーガソン氏は、ソーシャルネットワークは企業にとって問題の1つであるとしながらも、Facebookがもたらす脅威ばかりを取り上げる多くのコメンテーターと異なり、もっと大きなリスクがあると考えている。
「犯罪者がソーシャルネットワークをスキャンして攻撃に使うツールは確かに存在する。だが、多くのセキュリティ企業はFacebookがもたらす脅威ばかりを取り上げる。確かにFacebook上で重要な情報が共有されているが、LinkedInについては無関心だ」とファーガソン氏は指摘する。
「LinkedInはソーシャルネットワークではなく、ビジネスパーソンのためのネットワークと認識されているため、考慮されていないようだ。しかしLinkedInは、新しい職を求める人々のソーシャルネットワークにすぎない」
ファーガソン氏は、わずか20分ほどLinkedInを調べて、ギター熱やスペイン語を話せることなど、ラウンドテーブルの参加者の個人情報を詳らかにし、ソーシャルネットワークとして、LinkedInの情報は誰もが簡単に入手できることを示した。
「社員に関するどのような情報がソーシャルネットワークで公開されているかを考える必要がある」
ビジネス界でのもう1つのトレンドが、モバイル端末だ。モバイル端末は職場に浸透してきている、また、セキュリティ対策を講じなければ大きな脅威になると、参加者は口をそろえる。
「会社のネットワークの中で最も保護が薄く、急速に増えている端末は、スマートフォンだろう。よく使われるBlackhole Exploit Kitは、2012年にバージョン2に更新されている。現時点ではAndroidやiOSを対象とするエクスプロイトは存在しないかもしれないが、誰かがAndroidやiOS端末を使っていることは攻撃者に通知される。次は、これらの端末を対象とするエクスプロイトを作成するだけだ。そうなれば、現在爆発的に普及しているモバイルの、脅威の勢力図は塗り替わる」とファーガソン氏は語る。
モバイル端末に侵入する手段としてアプリを使うケースも増えている。ファーガソン氏によると、トレンドマイクロはAndroidプラットフォームのみを対象とする悪意のあるアプリが2012年末までに13万種類作られると予想したが、それは「救いようのない間違いだった」という。実際にその数は35万種類に上った。
ファーガソン氏はさらに次のようにも話す。「トレンドマイクロは2012年末に、2013年末には悪意のあるアプリの数が100万種類を超えると予想した。だが残念ながら、2日前に手に入れた新しいリポートを見ると、100万というのは控え目だったようだ」
Royal London GroupのIT戦略、アーキテクチャ、ガバナンス部門の責任者を務めるニール・ヘイドン=ダンブルトン氏は、「スタッフがパスワードを書き留めて壁に貼っている(と心配になる)。われわれは保護についていろいろ話すが、どれだけ多くのレガシー資産が企業で使われているかを考える必要がある」と話す。
NHS National Services Scotlandの主席情報開発責任者のジェイミー・グレイ氏も、旧来の問題が頭痛の種であることを認めている。
「NHSで仕事をしていて、多くのリスクが紙ベースであることに気が付いた。患者の記録がベッドの端に置かれているような環境では、依然としてそんなリスクが存在する」とグレイ氏は話す。
ある参加者は、慎重に行動しポリシーに従うのではなく、自分たちの業務をこなすことしか頭にないスタッフの態度こそが、最大のリスクをもたらしていると断じる。
他の参加者もそれに共鳴した。周囲の目に注意しなければ、出張中に飛行機や列車の中で、iPadやスマートフォンで見ている顧客データを隣の乗客に肩越しに読まれる可能性を例として挙げる。
一部の企業では、セキュリティの土壌が整っておらず、業務上の利便性がデータ保護よりも優先されるということが参加者全員の意見だ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
ランサムウェア攻撃は、生成AIを活用してますます巧妙化している。このような中で有効なのが、ゼロトラストセキュリティの原則に基づいた防御の戦略だ。本資料では、その戦略を5つのステップで解説する。
多くのセキュリティ担当者は、日々進化するサイバー脅威と複雑化するIT環境のはざまで対応を迫られている。本資料ではその現状を、ITおよびセキュリティのプロフェッショナルへの調査で明らかにし、打開策を考察する。
フィッシング攻撃は日々高度化し、特に生成AIの活用による偽装技術の向上や攻撃手法の巧妙化が進んでいる。本資料では、フィッシング攻撃のトレンドや事例を紹介するとともに、防御のベストプラクティスについて考察する。
従来のセキュリティ製品は、境界やエンドポイントの保護に重点を置いており、ネットワークレイヤーの保護は難しい。ハッカーはこの“ギャップ”を悪用するため、ネットワークトラフィックに潜む異常をリアルタイムに検知することが重要だ。
大企業のIT部門を対象に行ったセキュリティ対策に関する調査によると、未知の脅威への検知対策を行っているものの、その対策に不安を感じている企業は少なくないという。大企業はどのようなセキュリティの課題を抱えているのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
