内部告発者のエドワード・スノーデン氏は、メディアと政府の目をサイバー諜報活動に向けさせたが、暴露された米国政府の市民監視プログラム「PRISM」のことを、企業は無関係だと切り捨てることはできない。
サイバー諜報活動の急増は、情報セキュリティ戦略を見直し、知的財産の保護を強化する必要性を浮き出させている。スノーデン氏による暴露は、全ての行動や決断の結果として生じる可能性がある情報セキュリティへの影響について、徹底的に考える必要があることも印象付けた。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年11月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
スノーデン氏は、米国民の利益を最優先に考えて行動を起こしたと言う。だが実際には、非常に魅力的な、盗んでくれと言わんばかりの情報の宝庫の存在を潜在的な攻撃者に知らしめることになっただけ、というのが大方の見方だ。世間に知らせることで、スノーデン氏はPRISMが収集したデータを、他の国家や組織がスポンサーになった実行役から攻撃されるリスクに晒したといえるのかもしれない。
ホード・ティプトン氏は、米国政府の元CIOで、現在は情報セキュリティプロフェッショナルの認定資格制度を提供する(ISC)2のエグゼクティブディレクターを務めている。ティプトン氏によると、WikiLeaksが多くのサイバーアクティビストを刺激したように、PRISMの暴露の影響として、公的機関だけでなく企業も自警的な動きを取る可能性があるという。WikiLeaksに関しては、MasterCardが要請に応じてWikiLeaksへの支払いサービスを停止した例がある。
「今回のケースでは、国家、過激派グループ、市民抗議団体がこぞって、破壊的なサイバー攻撃を仕掛けることを道義的に認めると考える可能性がある。対象となった被害者は、自衛手段に出てもよいと考え、自ら攻勢に出るかもしれない」
ティプトン氏は、スタックスネットやFlameウイルスの事件に触れ、グローバル企業と各国政府は、従来のようなハッカーの侵入を防止するという観点ではなく、ハッカーは既にシステムに侵入していることを前提に、自らのセキュリティ戦略を見直すべき時代になっているとした上で、次のようにコメントしている。
「このような攻撃的なメンタリティの発達と、サイバー武装競争発生の可能性が、われわれのセキュリティの方針を正すことになるのか乱すことになるのかは、はっきりしないが。しかし、世界がPRISMの新たな情報開示を注視し続ける中で、リスクが高まっているかどうかではなく、派生した影響を抑制できるかどうかを多くの人々が自問することになるだろう」
今回の件で企業が学ぶべき教訓は、サイバー攻撃を受けるかどうかを考えるのではなく、標準のインシデント対応計画の一環としてメディアへの連絡手順を策定し、攻撃の二次的な影響を抑制できるかどうかを考えることだ。情報セキュリティのプロは、会社の評判の失墜は、情報漏えい自体と同様のダメージをもたらし得ると常に警告している。
とは言うものも、知的財産(IP)の保護も決して無視できないと、英調査会社のKuppingerCole UKでアナリスト兼マネージングディレクターを務めるロバート・ニュービイ氏は言う。
「PRISMは、情報プライバシー問題の氷山の一角にすぎない。サイバー自警団は格好のマスコミのネタになるが、そもそも組織の規模や、企業なのか福祉団体なのか国家なのかには関係なく、機密情報がリスクにさらされている」とニュービイ氏は語る。
ニュービイ氏の意見では、IPが侵害された場合、会社や製品の地位または存続自体に影響を及ぼす可能性があるため、管理すべき最重要の機密情報だ。
「何を、なぜ保護するかを考えよう。情報資産の目録を作り、リスク管理手法を使って、各資産の価値と資産に対する脅威を計る」
次のステップは守りだ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドの利用が加速する中、「設定ミス」がセキュリティリスクを高めてしまっているケースが散見される。よくある7つの設定ミスと、それらが悪用されるリスクを最小限に抑える対策を解説する。
強固なサイバーセキュリティ対策を練る上では、まず脅威の実態を知ることが重要だ。そこで参考にしてほしいのが、本資料だ。「2025年版グローバル脅威レポート」として、2024年のサイバー攻撃の傾向を解説している。
クラウドを狙う攻撃が増えている一方で、現在多くの組織で行われているクラウドセキュリティ管理には限界がある。クラウド環境の多くは可視性が欠如しており、監視も徹底されていない。クラウド環境を保護するための要件について解説する。
エンドポイント保護の重要性が高まっているが、いまだにレガシーなセキュリティツールを使用している企業も多い。旧式のエンドポイントセキュリティでは検知できないマルウェアフリーが増えている中で、どう対策を強化すればよいのか。
複雑さを増すクラウド環境におけるセキュリティ対策では、スマートかつ迅速なアプローチが重要だ。そのキーとなるのが「CNAPP」だが、ここではCNAPPに特に必要とされる「100%の可視性」など、5つの柱について解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
