2013年の(ISC)2 Security Congressでは、セキュリティ担当者が2つの敵との戦いを余儀なくされていることが浮き彫りになった。そのうちの1つは内部の敵だ。
シカゴで開催された(ISC)2 Security Congress 2013では、情報セキュリティ担当者が直面している課題に焦点が当てられた。攻撃がますます巧妙化していることもさることながら、セキュリティ担当者は業務部門の希薄な危機感と戦わざるを得ないケースが多いという。
上級管理職の多くは、いまだに自分たちがサイバー攻撃の標的になるとは考えず、「盗む価値のあるデータなどない」と言うのが決まり文句だ。そのため、業務部門は基本的なセキュリティ管理や制御システムに投資しようとせず、何かセキュリティ上の問題が発生したらIT部門が面倒を見ると考えている。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年11月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
Ernst & Youngが発表した典型的な事例(企業名非公開)では、ある大手調査会社でセキュリティ侵害が発生したが、同社には情報セキュリティ責任者(ISO)もセキュリティオペレーションセンター(SOC)も存在しないことが判明した。アイデンティティーおよびアクセス管理はお粗末で、ネットワークもセグメント化されてなければ、侵入防止や侵入検知システムなどネットワークの状態を把握する機構も用意されていなかった。
業務部門はITの問題を自力で解決することが奨励されており、ITポリシーはかなり以前に策定されたものだった。その結果、この会社では第三者によって通知されるまで、侵害の発生に気付かなかった。
Ernst & Youngの調査担当者は、シグネチャベースのウイルス対策システムやその他のセキュリティシステムでは検出されないカスタムマルウェアの亜種を発見した。攻撃者は、高度にカスタマイズされた本物らしいフィッシングメールを利用して、データベースに接続できる19人のユーザーのみを標的にして会社のネットワークへのアクセスを成功させていた。
このメールは会社のデータベースグループのメンバーである1人の社員を差出人に偽装し、本物を装った業務関連のイントラネットページにメール受信者を誘導していた。受信者がリンクをクリックすると、攻撃者の一連のツールが実行される仕組みだ。
この事例には、幾つかの教訓が含まれている。
■自社に対する脅威の特性と、会社の運営、財務、知的財産、評判が受ける侵害の影響を把握することが重要である。
■継続的に会社のネットワークを監視し、できるだけ迅速に侵入を検知および緩和する機構を用意する必要がある。
■セキュリティポリシーと対応手順は定期的に更新して実践し、進化し続ける脅威に即した情報セキュリティを確立できるようにする。
■マルウェアは、ますますカスタマイズされ標的を絞るようになっているため、企業は未知の攻撃に備える必要がある。しかし、それは他の攻撃が消滅することを意味するのではない。基本のITセキュリティも依然として欠かせない。
■最も脆弱なポイントが人間であることは多い。そのため大半の攻撃には、ソーシャルエンジニアリングの要素が含まれている。従って、セキュリティ意識をはぐくむトレーニングは必須だ。
■標的型攻撃が使われたとしても、侵害の手順は変わらないことが多い。企業は、インテリジェンスを共有して、継続的に防御戦略に組み入れていくとよいだろう。
攻撃者が役割(標的の組織の防御をかいくぐる役割)分担をしてチームを編成するようになっていることを踏まえ、セキュリティ担当者も戦術を変える必要があるというのが、セキュリティ業界の大方の見方だ。
防御側が反撃に出る「攻撃的セキュリティ」という考えが一部の領域ではもてはやされているが、それ以外の領域では過度な対応に慎重な姿勢が取られている。このカンファレンスに登壇した多国籍のパネルメンバーたちは、サイバー攻撃への報復は有効ではないとしている。サイバー攻撃のソースを追跡する能力は向上しているものの、特に巧妙な攻撃においては、確証を持って追跡できることはまずないからだ。
「ソースを特定できたとしても、報復はよい考えではない。攻撃はエスカレートし、ますます複雑になるのが常だからだ」と、非営利の米調査機関U.S. Cyber Consequences Unit(US-CCU)を率いるスコット・ボーグ氏は語る。
(ISC)2のアプリケーションセキュリティアドバイザリーボードのメンバーであるトニー・バルガス氏は、攻撃的セキュリティは課題が多く、場合によっては誤りが命取りになると警告する。
バルガス氏は、攻撃的セキュリティの代わりに、リスク認知と製品開発を通じて以下のようなプロアクティブなセキュリティを実現する戦略を薦めている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。
企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。
ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。
事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。
「WannaCry」による被害発生を契機に、国内でもその脅威が広く周知されることになったランサムウェア。今さら人に聞きづらいランサムウェアの基本から、「二重脅迫」と呼ばれる手口、組織が取るべき対策に至るまで、5分以内で解説する。
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
