ハッキングチームに自社を攻撃させるDaimlerのセキュリティ戦略攻撃者の視点で自社の脆弱性をチェック

自動車メーカーのDaimlerは、自社の脆弱性を発見して対策を施すため、社内に「ハッキングチーム」を抱えている。同チームは解決済みだったはずの脆弱性を発見するなどの成果を挙げている。

2014年11月07日 08時00分 公開
[Warwick Ashford,Computer Weekly]
Computer Weekly

 自動車メーカーの独Daimlerは、サイバー防御の有効性を外部攻撃者の視点から継続的にテストするために、ハッキングチームを抱えている。

 「『従来の侵入テスト』では、攻撃者に悪用される脆弱性を見つけ出すところまでは至らないことに気付いた」と、同社で情報セキュリティ管理最高責任者(CIO)を務めるリューダー・ザックセ氏は話す。

Computer Weekly日本語版 11月5日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 11月5日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 同氏はロンドンで開催された「Gartner Security and Risk Management Summit 2014」で「外部攻撃者のように侵入を試みることで、多くのことを学び、潜在的な脆弱性を見つけやすくなる」と話している。

 このアプローチにより、基本を忠実に実行することについて幾つか「苦い教訓」を得たが、ITセキュリティチームは常に必ず実行しなければならないことに集中できるようになったという。

 「当社はもう、理論に基づく対策を取ることはない。ハッキングチームが実際に攻撃しながら見つけた本当の脆弱性を取り除くことに専念する」

セキュリティの脆弱性を見つける

 同社のハッキングチームは、10年前に解決されていたはずのセキュリティの基本的な脆弱性を見つけ出すことに成功した。

 同社がこのアプローチを採用したのは、セキュリティコンプライアンスのチェックリストが機密情報の安全性を保証してくれるわけではないことにITセキュリティチームが気付いてからだ。また、100万個にも及ぶ同社のIPアドレスを常に100%保護するのは不可能であり、全てのIT資産を考慮したアプリケーション侵入テストの実現が不可能なことも分かった。

 500個のリンクサイトの他、8421カ所の拠点に従事する27万4000人以上の従業員を保護するという課題に直面した同社は、情報セキュリティに対処する新しいモデルを2012年に導入した。

続きはComputer Weekly日本語版 11月5日号にて

本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。


Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版 10月22日号:次に市場から消えるのは誰?

Computer Weekly日本語版 10月8日号:進撃のBig Apple

Computer Weekly日本語版 9月17日号:Amazonはクラウド界のMicrosoftか


Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/10 UPDATE

  1. どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”
  2. ゼロトラストの進化系? 「ゼロスタンディング特権」(ZSP)とは何か
  3. Appleをだます“不正なiPhone修理”の手口と危険性
  4. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  5. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  6. 「App Store」や「Google Play」で“危険なアプリ”を見極める方法
  7. 予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?
  8. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは
  9. Androidスマホが示す7つの“危険な兆候”とは? 今すぐやるべきマルウェア対策
  10. 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方