「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた(1/3 ページ)

米McAfeeの年次イベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営するITセキュリティジャーナリスト、ブライアン・クレブス氏が講演した。そこで語られた赤裸々な提言とは……?

» 2017年10月20日 12時00分 公開
[宮田健ITmedia]

 米McAfeeがラスベガスで開催しているイベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営する、米国で著名なITセキュリティジャーナリスト、ブライアン・クレブス氏が「Take the Red Pill」と題して講演を行った。

 同氏はITセキュリティの現状に精通するだけでなく、実際にアンダーグラウンドで販売されている漏えい情報にもアクセスし、どこから漏えいされたものなのかを特定、実際に企業に問い合わせることもしている著名人だ。

 2009年までワシントンポストに所属、その後独立して活動しており、米国において最も信頼されているITセキュリティジャーナリストの1人であり、Targetの情報漏えいインシデントは彼の独自の調査により明らかになったものだ他にも不倫サイト、アシュレイ・マディソンの事件などでも同氏の活躍がある。2016年9月には同氏のブログに対し、当時としては史上最大規模のDDoS攻撃が行われたことも記憶に新しい。

 今回は、本カンファレンスで語られた、ブライアン・クレブス氏の赤裸々な「提言」と、企業が情報漏えいに対して考えるべきポイントをレポートしよう。

photo 「Krebs on Security」を運営するブライアン・クレブス氏

「今、自社で情報漏えいが起きているとしたら」と仮定できるか?

 クレブス氏の講演は「なぜ、情報漏えい事件が立て続けに起きるのか」という疑問の投げかけから始まった。

 ジャーナリストとして、時間をかけてアンダーグラウンドの掲示板やブラックマーケットを観察し、“地下”で起きていることを見てきた同氏は、大きな漏えいデータが販売されていればそれを実際に購入し、どこから漏れたのか、誰が漏らしたのかを検証し、企業や組織が漏えいに気が付く前にその事実を知るという。

 漏えいが疑われる企業に勤める知人にその事実を話すと、多くの場合は名前を出さないという条件で対応が得られるという。その根底には「経営層など上層部に現状を知ってほしい、という思いがあるようだ」とクレブス氏は語る。クレブス氏は、「正しいセキュリティ対策は、ツールやハードを導入することよりも、むしろ考え方やプライオリティなど、組織の文化に依存する」と述べる。

 その点でクレブス氏は、セキュリティを考えるべき全ての企業に対し、「もし『情報漏えいや侵害が既に起きていると仮定せよ』と話したら、どう受け取るだろうか」と問いかける。多くの企業がセキュリティ対策に投資し、備えているという前提で、それでも「既に侵害が起きていると想定する」ことが重要だと述べる。

 「侵害を想定する場合、特にセキュリティ担当者には相当なガッツが求められるだろう。どれだけ投資しても、侵害されているかもしれないと思う“謙虚さ”が求められるからだ。侵害が見つからなかったとき、自らの努力が足りないのかもしれないと考えることができるだろうか?」

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ