「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた（3/3 ページ）

[宮田健，ITmedia]

エンドユーザーの意識と責任「二要素認証を浸透させよ」

　続いてクレブス氏は、企業などの組織への攻撃に関して、「エンドユーザーである従業員として、どのようなことを考えるべきか」というテーマに触れた。

　同氏は組織への攻撃に関して、ゼロデイ脆弱性やマルウェアなどの攻撃もあるが、最初に行われるのは「フィッシング」だと話す。1つの攻撃が成功することで、大きな影響を与えられるからだ。

　「企業に対するフィッシングは、『特定の職場や特定の人をターゲットにしたものではない』と考えるべきだ。1つの標的を定めれば、彼のFacebookなどのSNSを見て、プロファイリングし、知り合いや同僚のメールアドレスを狙うだろう」（クレブス氏）

　そしてクレブス氏が指摘するのは、管理者が「二要素認証」をしっかり行っているかという点だ。

　「例えばドメイン管理者や、Office 365のようなメールの管理者が10人いたとして、その1人がフィッシングにあったとする。そこで二要素認証を行っていなければ、従業員全員のメールを見ることができるし、こっそりと転送も設定できる。そうされても気付くことすらできない。管理者、社員だけでなく、関係するパートナー企業も全て二要素認証を行うべきだ」

　過去に情報漏えいを起こしてしまった企業の中には、メールシステムを完全に刷新した企業もある。

「悪人はネットワークを狙うとき、メールを全て読んでいると考えよ」

サイバーセキュリティのゲームを変える7つのアイデア

　クレブス氏は、米国でも不足が深刻化している「セキュリティ人材」に対してもコメントした。この問題は、セキュリティの重要性をいかに上層部に理解してもらうかが課題だと述べる。

　同氏の提案はシンプルだ。

　「上層部がセキュリティに対する理解や興味がないのなら、別の会社で仕事を探すといい。その方が早いし、引く手もあまただ。自分の会社が侵害を受けていないと信じているのならば、被害を受けた経験がある企業に勤めていた人間を雇うことも手だろう」

　そしてクレブス氏は最後に、サイバーセキュリティにおける現状を変える、7つのポイントを提案した。

• 侵害を受けている前提で対処せよ。赤い薬を飲め
• コンプライアンスを超えろ。順守するだけではだめだ
• 社員を把握せよ。悪い社員の行動パターンをつかめ
• 二要素認証はもう当たり前、パートナーを含めて実施せよ
• 有能なセキュリティ人材を集めよ
• 訓練せよ、とにかく訓練せよ
• 既に持っている機器でセキュリティを高めよ、そのためには最新のパッチを当てよ

クレブス氏が提案する7つのポイント

　特に「社員を把握せよ」という点については、「社内に悪意ある社員がいるとした場合、そのほとんどは数カ月、数年の積み重ねで行動パターンを把握できる。ポルノサイトを見ることなどを含め、ポリシー違反を何度も繰り返しているから分かるはずだ」と述べる。さらに「訓練せよ」に関しては、ツールやソリューションで防御するだけでなく、「何かが起きたときに誰に連絡すべきかなど、関係性の面でも訓練する必要がある」という。

　さまざまな話を展開したクレブス氏は、最後に聴衆にこんなエールを贈った。「セキュリティに対して、思い込みがないか、本当にそれが正しいのかを常に自ら考え、行動しよう」

（取材協力：マカフィー）