ホワイトハッカーの「倫理的なハッキング」を活用すべし： ホワイトハッカー利用の壁

防衛上の弱点を発見するために部外者に攻撃させるという手法は、軍隊でも活用されている。これをサイバーセキュリティに応用したものがホワイトハッキングだ。だが利用には壁を乗り越える必要がある。

[Declan Doyle，Computer Weekly]

　サイバー攻撃の数と種類の増加を考えると、企業が防御態勢を整えていることを願うばかりだ。だが残念ながら、備えができているとは思えない。Scottish Business Resilience Centreが最近行った調査によると、スコットランドの企業の38％はサイバー攻撃対策ができていないと感じているという。

関連記事

• ペネトレーションテスターは信頼できるのか
• 現実の手法で自社を標的型攻撃する「レッドチーム演習」とは？
• ハッキングチームに自社を攻撃させるDaimlerのセキュリティ戦略
• スキル不足を補完する、演習によるサイバーセキュリティ経験値アップ
• 攻撃者をわな（ハニーポット）に誘い込む“ディセプション技術”のススメ

　企業が犯罪者に先んじるには、防御の強化がこれまで以上に重要だ。それには支援が必要なのは明らかだ。そこで出番となるのがホワイトハッカー、つまり攻撃的なセキュリティテスト担当者や研究者だ。

ホワイトハッカーとは

　自社のシステムがサイバー攻撃に耐えられるかどうかを確認する最善の方法は、自社に攻撃を仕掛けることだ。自分で攻撃すれば、脆弱（ぜいじゃく）性があっても機密データが漏えいするリスクはない。

　ホワイトハッカーは、脆弱性の発見を目的として業務システムへの侵入を許可された情報セキュリティの専門家を指す。ホワイトハッカーが侵入することで、犯罪者がアクセス権を取得するのを防ぐ方法を実証することができる。攻撃に対する従業員の反応をテストすることもできる。

　ホワイトハッカーの利点を認識し、サイバーレジリエンスをテストおよび強化するためにホワイトハッカーに注目する企業は増えている。

ハッカーの検索と信頼

　ホワイトハッキングには、ハッカーと企業の間に一定レベルの信頼が要求される。ハッカーが経験豊富で十分なトレーニングを受けており、悪意がないことを信頼できなければならない。ホワイトハッカーは比較的新しい職務であり、ライセンスは必要ない。だが認定制度はある。その認定はハッカーが技術と倫理的責任の両方を理解していることを確認する。

　EC-CouncilとSANS Instituteはホワイトハッキングに関する学位と認定資格を提供している。スコットランドのアバーテイ大学には、次世代のホワイトハッカーを養成する世界初のホワイトハッキングの学位がある。

　認定の有無に関係なく、ハッカーの信頼性を確保する責任は企業にある。これを実現する一つの方法は、独立系のハッカーではなく信頼できるセキュリティプロバイダーの協力を得ることだ。多くのプロバイダーがハッカーの犯罪記録をスクリーニングして、正当性の確保に役立てている。

　ハッカーには、特定した情報に関する秘密保持契約に署名することを求める。

懸念事項の克服

　著名なホワイトハッカーの一部はサイバー犯罪者として経歴をスタートしている。そのようなハッカーに自社システムへの攻撃を依頼するのは奇妙に感じるかもしれない。著名なハッカーの1人であるケビン・ミトニック氏は以前、FBIの最重要指名手配者リストに載っていた。彼は現在、コンピュータセキュリティコンサルティング企業を運営している。

　重要なのは「ハッキング」という言葉の由来を押さえておくことだ。ハッキングという言葉は1960年代にその文脈通りの意味で使われ始めた。その後、機械の効率を上げるために機械の細部まで巧妙に細工（ハック）するという、クリエイティブなエンジニアリング技法として使われるようになる。これは肯定的かつ称賛すべきスキルを表している。

　ホワイトハッキングは、ハッカーをこうした語源に戻す。ホワイトハッカーは脆弱性を特定し、セキュリティ対策を支援する。

防御の構築

　セキュリティをホワイトハッカーに頼るだけでは不十分だ。世界最高のホワイトハッカーであっても、従業員が誤って機密データを不適切な人物にメールで送ったり、不正なリンクをクリックしたりするのを防ぐことはできない。ただし、社内のプロセスを厳重なものに変更するアドバイスをすることはできる。

　セキュリティの強化に役立つ社内プロセスはたくさんある。セキュリティはIT部門だけに責任があるのではなく、従業員にも果たすべき役割があることを全員が認識する必要がある。

　ホワイトハッキングは、リスクを冒さずにセキュリティをテストする最善の方法だ。全ての企業にとって重要な武器になるだろう。