西本氏によれば、攻撃者が最も狙う情報はユーザーIDやメールアドレス、パスワード、アカウントなどユーザー権限の周囲に関するものだという。
「攻撃者は費用対効果の最も高い部分を狙う。大企業や金融機関は金銭につながる情報の宝庫だが、対象側の対策や意識も高いので発覚や失敗のリスクも高いので敬遠する。しかし意識や対策の甘い企業なら攻撃を容易にでき、最も狙いやすい」(西本氏)
セキュリティ対策の強化は、最終的にユーザーを含めたセキュリティ意識をどれだけ高められるかという点に集約される。西本氏は、「守れと言われても、なかなか本気にはなれないもの。セキュリティはビジネスを支えるのに不可欠なものを考え、できるところから無理なく実施していくことが大切だ」と話す。
現在の脅威の原因とされるSQLインジェクションやバッファオーバーフロー、クロスサイトスクリプティングといった脆弱性は、いずれも最近発見された手法ではなく、以前から多方面で指摘されてきた。USBメモリによる脅威の背景には、「便利だ」「簡単だ」といったメリットばかりに注目が集まり、ユーザーはそれらが原因で起きるリスクを十分に認識していないことがある。
「解消せずに引きずったままの脆弱性や習慣、ブームが一番の原因になる。過去を見直して弱い部分を知り、それを直す。外部に対策を頼るのではなく、ユーザーを含めて組織全体でセキュリティの意識を高めていく取り組みを進めていいただきたい」(西本氏)
Copyright © ITmedia, Inc. All Rights Reserved.