セキュリティ座談会で見えてきた、標的型攻撃対策の重要ポイント：投資する前に“するべきこと”

ITセキュリティの責任者を招いたComputer Weeklyラウンドテーブル。そこで明らかになった、問題に横たわる共通のテーマとは？

[Jennifer Scott，Computer Weekly]

　厳しさを増すサイバー犯罪との戦い。情報セキュリティの担当者は、次々と押し寄せる課題と攻撃に直面している。英Computer Weeklyは、エジンバラでトレンドマイクロと共催したラウンドテーブル討論会にITセキュリティの責任者を招き、職場で直面している問題と脅威への対策について意見を交わした。

Computer Weekly日本語版　2013年8月21日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　2013年8月21日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　2013年8月21日号：PRISMスキャンダルで加速する脱・米国クラウド

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　出席者したのは、英Royal Bank of Scotland（RBS）や英Tesco Bankから、英国森林委員会、Edinburgh Collegeなどの公的団体、Eコマース標準化団体の英Origoの情報セキュリティリーダーたちだ。

　事業規模、民間組織か公的組織かといった組織の属性は違っても、討論を通じてさまざまな共通のテーマが見つかった。

変わりゆく脅威

　オランダに本社のあるKPMGのサイバーレスポンスの責任者、マーティン・ジョーダン氏は、情勢はかつてないほど危険だと警鐘を鳴らす。「銀行が猛攻に対抗できるよう、警察当局はテロ対策からリソースを（サイバーセキュリティへと）移している。これはよい兆候ではない」と同氏は言う。「サイバー犯罪組織は増えている。彼らからの攻撃の増加を覚悟する必要がある」

　「攻撃の種類も変わった」と話すのは、トレンドマイクロのセキュリティリサーチ担当副社長のリック・ファーガソン氏だ。

　「ここ数年の最大の変化は、標的型攻撃に向かっていることだ。これは恐らく、一般の意識の上でも、この1年半〜2年で最も変わった点だろう。以前優勢だった脅威は、できる限り多くのPCを感染させ、データを手当たり次第手に入れるという、かなり不特定なモデルだった」とファーガソン氏は語る。

　「現在はそれが標的型攻撃に変わりつつある。攻撃対象になるのは、特定の個人、組織、企業、またはオンラインゲームのプレーヤーグループなど多岐にわたるが、いずれも選ばれた標的（ターゲット）だ」（ファーガソン氏）

企業環境に対する脅威

　ファーガソン氏は、ソーシャルネットワークは企業にとって問題の1つであるとしながらも、Facebookがもたらす脅威ばかりを取り上げる多くのコメンテーターと異なり、もっと大きなリスクがあると考えている。

　「犯罪者がソーシャルネットワークをスキャンして攻撃に使うツールは確かに存在する。だが、多くのセキュリティ企業はFacebookがもたらす脅威ばかりを取り上げる。確かにFacebook上で重要な情報が共有されているが、LinkedInについては無関心だ」とファーガソン氏は指摘する。

　「LinkedInはソーシャルネットワークではなく、ビジネスパーソンのためのネットワークと認識されているため、考慮されていないようだ。しかしLinkedInは、新しい職を求める人々のソーシャルネットワークにすぎない」

　ファーガソン氏は、わずか20分ほどLinkedInを調べて、ギター熱やスペイン語を話せることなど、ラウンドテーブルの参加者の個人情報を詳らかにし、ソーシャルネットワークとして、LinkedInの情報は誰もが簡単に入手できることを示した。

　「社員に関するどのような情報がソーシャルネットワークで公開されているかを考える必要がある」

モバイルセキュリティ

　ビジネス界でのもう1つのトレンドが、モバイル端末だ。モバイル端末は職場に浸透してきている、また、セキュリティ対策を講じなければ大きな脅威になると、参加者は口をそろえる。

　「会社のネットワークの中で最も保護が薄く、急速に増えている端末は、スマートフォンだろう。よく使われるBlackhole Exploit Kitは、2012年にバージョン2に更新されている。現時点ではAndroidやiOSを対象とするエクスプロイトは存在しないかもしれないが、誰かがAndroidやiOS端末を使っていることは攻撃者に通知される。次は、これらの端末を対象とするエクスプロイトを作成するだけだ。そうなれば、現在爆発的に普及しているモバイルの、脅威の勢力図は塗り替わる」とファーガソン氏は語る。

　モバイル端末に侵入する手段としてアプリを使うケースも増えている。ファーガソン氏によると、トレンドマイクロはAndroidプラットフォームのみを対象とする悪意のあるアプリが2012年末までに13万種類作られると予想したが、それは「救いようのない間違いだった」という。実際にその数は35万種類に上った。

　ファーガソン氏はさらに次のようにも話す。「トレンドマイクロは2012年末に、2013年末には悪意のあるアプリの数が100万種類を超えると予想した。だが残念ながら、2日前に手に入れた新しいリポートを見ると、100万というのは控え目だったようだ」

人的要素

　Royal London GroupのIT戦略、アーキテクチャ、ガバナンス部門の責任者を務めるニール・ヘイドン＝ダンブルトン氏は、「スタッフがパスワードを書き留めて壁に貼っている（と心配になる）。われわれは保護についていろいろ話すが、どれだけ多くのレガシー資産が企業で使われているかを考える必要がある」と話す。

　NHS National Services Scotlandの主席情報開発責任者のジェイミー・グレイ氏も、旧来の問題が頭痛の種であることを認めている。

　「NHSで仕事をしていて、多くのリスクが紙ベースであることに気が付いた。患者の記録がベッドの端に置かれているような環境では、依然としてそんなリスクが存在する」とグレイ氏は話す。

　ある参加者は、慎重に行動しポリシーに従うのではなく、自分たちの業務をこなすことしか頭にないスタッフの態度こそが、最大のリスクをもたらしていると断じる。

　他の参加者もそれに共鳴した。周囲の目に注意しなければ、出張中に飛行機や列車の中で、iPadやスマートフォンで見ている顧客データを隣の乗客に肩越しに読まれる可能性を例として挙げる。

　一部の企業では、セキュリティの土壌が整っておらず、業務上の利便性がデータ保護よりも優先されるということが参加者全員の意見だ。

では何をすべきか？

続きはComputer Weekly日本語版　2013年8月21日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　2013年8月21日号：PRISMスキャンダルで加速する脱・米国クラウド