ベネッセ情報漏えい事件から学ぶ、セキュリティ対策の“基本”とは？：エバンジェリストが分かりやすく解説（1/3 ページ）

2014年も企業の情報セキュリティを脅かす事件は数多く発生している。ソフトバンク・テクノロジーの年次イベントで、セキュリティ専門家の辻伸弘氏がベネッセの情報漏えい事件を例に取り、情報漏えい対策や標的型攻撃対策の“基本”を説明した。

[池田憲弘，ITmedia]

情報セキュリティの基本、できていますか？

　ベネッセの顧客情報流出、LINEのアカウント乗っ取り被害、その他フィッシング詐欺、Webサイトへの不正アクセス──。2014年も情報セキュリティを脅かす事件が多発し、企業は全社をあげてその対策に取り組むべき必要性を強く意識させた。

　では、情報漏えいや標的型攻撃への対策を、具体的にどう考えるべきか。ソフトバンク・テクノロジー シニアセキュリティエバンジェリストの辻伸弘氏が、同社の年次イベント「SoftBank Technology Forum 2014」で、企業の情報漏えい対策についての「基本」を改めて説明した。

ソフトバンク・テクノロジー シニアセキュリティエバンジェリストの辻伸弘氏

　セキュリティの世界は、基本的に攻撃者側が圧倒的に有利である。守る側はさまざまなリスクを想定し、対処しなければならないが、攻撃者側は脆弱なポイントを1点でも破ればよい。そして、その突破方法は多彩で今後も増えていくことが予想される。はっきり言えば、リスクをゼロにするのは不可能に等しい。

　その上で、情報を守るのに大切なのは、情報の管理者が攻撃者側の視点を持つことだと辻氏は言う。「セキュリティは“守る”というイメージが強く、そのイメージで対策を考える人も多いが、攻撃者の立場で考えることが重要。すべて守ろうとすれば人もコストも足りるわけがない。できるだけ守るべき範囲を小さくすることが大事だ」（辻氏）

　例えば、企業が重要だと思っている情報が必ずしも狙われるわけではない、と辻氏は話す。社員の給与情報などは企業や個人にとって大事なものでも、攻撃者側からするとあまりメリットがない情報かもしれない。なぜなら、攻撃者は「お金になる情報」が欲しいためだ。どのデータを守るべきかという点を見直すことから情報セキュリティ対策は始まるという。

　「まずは守りたい情報は何か。顧客情報なのか社員の個人情報なのか、特許の情報なのか。そしてそれはネットワーク上のどこにあり、どうアクセスできるのか。これを把握することがセキュリティ対策の第一歩。企業のセキュリティ対策について、世の中には危機感をあおるような情報もたくさんあるが、必要以上におびえることはない」（辻氏）

　続いて、辻氏はベネッセの情報漏えい事件を例に挙げ、セキュリティリスクへの対応のポイントを説明した。