「CIO Boston Summit」のセミナーから、サイバー攻撃リスクを軽減するためのステップを紹介する。
「WannaCry」のような身代金要求型マルウェア(ランサムウェア)から、「NotPetya」のような破壊活動を目的とするワイパー(データ破壊をするマルウェア)まで、そして信用情報会社Equifaxで起きたような大規模なデータ侵害から「Vault7」のようなCIAハッキングツールの暴露まで、2017年のITニュースの見出しはサイバーセキュリティに関する話題で賑わった。Gartnerは、データ侵害があらゆる規模の組織に影響を与え続ける中で、世界全体で企業のセキュリティ分野に関する2018年の支出は963億ドルに達すると予測している。
2018年を通して、われわれはサイバーセキュリティに何が待ち構えているのか考えずにはいられない。CDM Mediaが2018年4月26日に開催した「CIO Boston Summit」では、サイバーセキュリティ会社Cybereasonのプロダクトマーケティングディレクターであるジェシカ・スタンフォード氏が登壇。同社の研究者が特定した、2018年に最も注目すべきサイバーセキュリティ動向を強調して述べた。
企業では、さらにたくさんのサイバーセキュリティに関する事件が発生する可能性があると予想される一方で、「2018年末に1年を振り返り『防御者が優勢の年』であったと言えることを期待している」とスタンフォード氏は述べた。
大手小売業のTargetにおいて、サイバー攻撃者が冷暖房空調設備(HVAC)を経由してネットワークに侵入した事件で起きたような、サプライチェーンへの攻撃の増加が見込まれるとスタンフォード氏は述べる。
大規模な組織は強固なセキュリティ対策を実装している一方で、サードパーティーのサプライヤーでは攻撃を受ける心配がないと考えているため、貧弱なセキュリティ対策がまだまだ一般的だとスタンフォード氏は述べる。
「攻撃者が到達したいターゲットを探し求める際、彼らは最も弱いリンクを見つけなければならず、サードパーティーのサプライヤーがその対象となることが多い」(スタンフォード氏)
盗まれたデータの価格も低下した。これが、攻撃者をサプライチェーンへの攻撃に駆り立てる、もう1つの要因である。「これらのデータの価格が下落しているのであれば、攻撃者は、もっと効果的にデータを入手する必要がある」と彼女は説明する。
「これらのリスクを軽減するには、幾つかの方法がある」と彼女は説明する。まず、企業は全てのベンダーからのアクセスを監視し、サードパーティーからのアクセスを特定のシステムだけに制限する。ユーザーがサードパーティー製のソフトウェアをインストールすることを制限し、サプライチェーン全体を通して冗長性を持たせる必要がある。
スタンフォード氏は「CISO(最高情報セキュリティ責任者)はサードパーティーのベンダーを訪問し、ベンダーのインシデントレスポンスとディザスタリカバリー計画を確認することに対して、なんら抵抗を感じるべきではない」と付け加えた。
「ビジネス上の関係を築く前に、『この会社は心地よく一緒に仕事ができるサプライヤーかどうか』を真に理解するためには、この件に関してしっかりと話し合いをしておくことが重要だ」とスタンフォード氏は述べる。「うまくいけば、お互いから学ぶチャンスがある。そうでなければ、そのベンダーを起用しないという選択ができる」
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「非常時にピザ1枚無料」のデータがドミノ・ピザのマーケティングに生む好循環とは? CMOに聞く
2024年10月にDomino'sのチーフブランドオフィサーからエグゼクティブバイスプレジデント...
AI搭載は「もう売りにならない」──「Marketing Dive」2025年予測【前編】
広告費が世界で1兆ドルを超える中、マーケターは多くの課題に直面している。不透明な規制...
Xがアルゴリズム変更へ イーロン・マスク氏が優遇したい投稿とは?
Xは新たなアルゴリズムアップデートで「情報的かつ娯楽的」なコンテンツに重点を置いてい...