いくらセキュリティ製品を導入しても、セキュリティの根本的な向上には結び付かない可能性がある――。あるセキュリティ専門家は、そう断言する。それはなぜなのか。
「単に最新のセキュリティ製品を導入するだけでは意味がない」。セキュリティコンサルティング企業2|SECのティム・ホルマン最高経営責任者(CEO)はそう語る。どういうことなのか。ホルマン氏の寄稿から、その真意を探る。
企業は現状のセキュリティ対策をいくら続けても、攻撃の実害を防ぐことはできない――。主な攻撃事例を見て、私はそう結論付けた。問題は何か。企業は新しいセキュリティ製品の導入といった表面的なセキュリティ対策に注力しがちで、根本的対策のてこ入れを怠っている、ということだ。
「難しいことを言うなあ」とため息をつきたくなるだろうか。しかし、この問題には真剣に向き合うべきだと私は考えている。もう少し分かりやすく説明しよう。
私がセキュリティの仕事に就いたのは、1990年頃だ。当時は「ゼロトラストセキュリティ」の言葉こそなかったが、セキュリティ対策において「誰も信用するな」という考え方は、セキュリティ専門家の常識になっていた。
近年はセキュリティ技術の進化とともに、さまざまなセキュリティ製品が登場している。ただしセキュリティポリシーの策定や従業員のセキュリティ育成といった、既存のセキュリティの仕組みがしっかりしていなければ、企業がいくら新しいセキュリティ製品を上乗せしても、根本的なセキュリティの向上にはつながらない。強固なセキュリティの仕組み作りは、ベンダー任せにはできない。ユーザー企業の責任だ。
人工知能(AI)技術の搭載によって、セキュリティ製品に学習機能やリスク判断機能を持たせることがトレンドになっている。こうした機能自体は大いに意義があるが、もろいセキュリティの仕組みを強固にするための根本的な解決策にはならない。実際、さまざまなセキュリティ製品を導入しているとみられる大手企業を狙った攻撃や実害が報道され、私の論調を裏付けている。
2022年9月、Uber Technologiesはサイバー攻撃を受けたことを発表。同社が利用していたSlack Technologiesのビジネスチャットツール「Slack」に対して、攻撃者による不正アクセスがあったことを明らかにした。攻撃者はソーシャルエンジニアリング(人間の心理を巧みに利用して機密情報を入手する手法)により、Uber従業員のSlackアカウントを不正に取得したとみられている。
企業はいかに優れたセキュリティ製品を導入しても、人間の脆弱(ぜいじゃく)性を排除できなければ、実害を防ぐことは難しい。セキュリティに関して、従業員を信用し切ってはいけない。従業員はミスを犯すだけではなく、退職してセキュリティ関連情報を外に持ち出す可能性があるからだ。
私は企業に対し、セキュリティの仕組みを一から再構築することの重要性を訴求している。再構築の際に最も大切なことは、やはりゼロトラストセキュリティの考えを取り入れることだ。セキュリティベンダーはゼロトラストセキュリティを切り口にした製品展開に注力している。ユーザー企業にとってゼロトラストセキュリティに取り組むハードルは下がっていると考えられる。
セキュリティ再構築の際に手助けになるのは、Information Systems Security Association(ISSA)をはじめとするセキュリティ非営利団体が、企業向けに公開しているガイドラインだ。セキュリティ専門家の知恵を借りつつ、ガイドラインに基づいてしっかりしたセキュリティポリシーを導入することは、強固なセキュリティの仕組み作りの第一歩になる。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
