セキュリティ対策は“攻撃的”であるべし――McAfeeの年次レポート

「サイバー犯罪が高度化、巧妙化しており、セキュリティ対策を積極的かつ戦略的に実施していく必要がある」とMcAfeeは提起している。

» 2010年08月10日 15時02分 公開
[國谷武史,ITmedia]

 米セキュリティ企業のMcAfeeは、同社の研究部門のMcAfee Labsがとりまとめたセキュリティ動向の年次報告書「McAfee Security Journal 2010」を公開した。サイバー犯罪が高度化し、セキュリティ戦略を積極的に構築することが必要だと指摘している。

 今年初めに発生した企業の知的財産を狙うサイバー攻撃や、7月に発生したWindowsの脆弱性を悪用してインフラ管理システムや制御システムの不正操作を狙う攻撃などを受け、報告書ではサイバー犯罪者に対して積極的な姿勢をとる「攻撃的なセキュリティ」の必要性を強調している。

 従来のセキュリティ対策は、セキュリティベンダーやユーザーが「受け身」の体勢であったが、今後は法執行機関などを含めた第三者との連携を強化することで、サイバー攻撃を完全に防ぐ体制が求められるという。

 具体的な対策指針として、同社は報告書を通じて以下の内容を提起した。

  • ハッカーと同じ技法を使用する:企業は製品のバグを見つけて問題に対処するために、ファジングや侵入テストなどハッカーと同じ技法を使って犯罪者の侵入を防ぐべきである
  • 情報を提供して犯罪者の起訴に貢献する:ドメイン事業者を認定する立場のICANNは、悪質なWebサイトのホスティングやスパムに対抗するために、セキュリティ業界と連携してサイバー犯罪に対する強い姿勢をとるべきである
  • 第三者と情報を共有する:PCユーザー、セキュリティ専門家、管理者は、信頼できるセキュリティベンダーと知識や情報を共有すべきである。セキュリティベンダー各社は、メタデータ(ここでは脅威に関する付随的な情報)を共有する。世界各国の国会議員はこれらの問題を考慮に入れた形で法律を立案すべきである
  • 実証済みの対策を導入する:MoColo、Atrivo、Mega-Dの事例(不正に加担したとされるISPの遮断)で成功した実証済みの対策は、大きく2つのカテゴリーに分類される。1つは、インターネットコミュニティーがネットワークを排斥する「隔離」、もう1つは、ボットネットの無力化に重点を置いた「麻痺」である。プロアクティブなセキュリティ対策には、業界全体による関与と実績のある手法が必要。これらの手法は確実に成功を収めており、専門家や法執行機関は、一般的なセキュリティ対策として取り入れるべきである
  • サイバー犯罪者のリスクを高める:サイバー犯罪は利益を追求する行為になった。企業のビジネスモデルと同様に、組織的なサイバー犯罪は「リスク」と「報酬」という要因で成立する。このバランスに焦点を絞り、報酬が減るというリスクを高めることで、結果的にサイバー犯罪を減らすことができる。例えばサイバー犯罪者の氏名の公表、サイバー犯罪者に対する罰金の引き上げ、問題のあるドメインのより積極的な閉鎖、効果的なスパムのフィルタリング、「押収した」メールアカウントの閉鎖、詐欺との関係が疑われる口座の凍結などが考えられる
  • サイバー犯罪とサイバー教育について啓蒙する:セキュリティの専門家は、政府と連携し、サイバー犯罪に対する知識がその被害者になる危険を回避することに役立つものと教えるべきである。例えば、実際にサイバー犯罪と戦う人間にマルウェアの技法に関する最新情報を提供したり、多くの人に危険な振る舞いを特定するのに役立つツールを提供したり、また、犯罪を報告する適切な窓口をユーザーに知らせるなど、教育により認識を高める必要がある

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ