防衛上の弱点を発見するために部外者に攻撃させるという手法は、軍隊でも活用されている。これをサイバーセキュリティに応用したものがホワイトハッキングだ。だが利用には壁を乗り越える必要がある。
サイバー攻撃の数と種類の増加を考えると、企業が防御態勢を整えていることを願うばかりだ。だが残念ながら、備えができているとは思えない。Scottish Business Resilience Centreが最近行った調査によると、スコットランドの企業の38%はサイバー攻撃対策ができていないと感じているという。
企業が犯罪者に先んじるには、防御の強化がこれまで以上に重要だ。それには支援が必要なのは明らかだ。そこで出番となるのがホワイトハッカー、つまり攻撃的なセキュリティテスト担当者や研究者だ。
自社のシステムがサイバー攻撃に耐えられるかどうかを確認する最善の方法は、自社に攻撃を仕掛けることだ。自分で攻撃すれば、脆弱(ぜいじゃく)性があっても機密データが漏えいするリスクはない。
ホワイトハッカーは、脆弱性の発見を目的として業務システムへの侵入を許可された情報セキュリティの専門家を指す。ホワイトハッカーが侵入することで、犯罪者がアクセス権を取得するのを防ぐ方法を実証することができる。攻撃に対する従業員の反応をテストすることもできる。
ホワイトハッカーの利点を認識し、サイバーレジリエンスをテストおよび強化するためにホワイトハッカーに注目する企業は増えている。
ホワイトハッキングには、ハッカーと企業の間に一定レベルの信頼が要求される。ハッカーが経験豊富で十分なトレーニングを受けており、悪意がないことを信頼できなければならない。ホワイトハッカーは比較的新しい職務であり、ライセンスは必要ない。だが認定制度はある。その認定はハッカーが技術と倫理的責任の両方を理解していることを確認する。
EC-CouncilとSANS Instituteはホワイトハッキングに関する学位と認定資格を提供している。スコットランドのアバーテイ大学には、次世代のホワイトハッカーを養成する世界初のホワイトハッキングの学位がある。
認定の有無に関係なく、ハッカーの信頼性を確保する責任は企業にある。これを実現する一つの方法は、独立系のハッカーではなく信頼できるセキュリティプロバイダーの協力を得ることだ。多くのプロバイダーがハッカーの犯罪記録をスクリーニングして、正当性の確保に役立てている。
ハッカーには、特定した情報に関する秘密保持契約に署名することを求める。
著名なホワイトハッカーの一部はサイバー犯罪者として経歴をスタートしている。そのようなハッカーに自社システムへの攻撃を依頼するのは奇妙に感じるかもしれない。著名なハッカーの1人であるケビン・ミトニック氏は以前、FBIの最重要指名手配者リストに載っていた。彼は現在、コンピュータセキュリティコンサルティング企業を運営している。
重要なのは「ハッキング」という言葉の由来を押さえておくことだ。ハッキングという言葉は1960年代にその文脈通りの意味で使われ始めた。その後、機械の効率を上げるために機械の細部まで巧妙に細工(ハック)するという、クリエイティブなエンジニアリング技法として使われるようになる。これは肯定的かつ称賛すべきスキルを表している。
ホワイトハッキングは、ハッカーをこうした語源に戻す。ホワイトハッカーは脆弱性を特定し、セキュリティ対策を支援する。
セキュリティをホワイトハッカーに頼るだけでは不十分だ。世界最高のホワイトハッカーであっても、従業員が誤って機密データを不適切な人物にメールで送ったり、不正なリンクをクリックしたりするのを防ぐことはできない。ただし、社内のプロセスを厳重なものに変更するアドバイスをすることはできる。
セキュリティの強化に役立つ社内プロセスはたくさんある。セキュリティはIT部門だけに責任があるのではなく、従業員にも果たすべき役割があることを全員が認識する必要がある。
ホワイトハッキングは、リスクを冒さずにセキュリティをテストする最善の方法だ。全ての企業にとって重要な武器になるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...