「知っている」を「できる」に、できるを「やっているに」――辻伸弘氏インタビュー：半径300メートルのIT（1/2 ページ）

ロンドンオリンピックで話題になった「サイバー攻撃2億件」というニュースを覚えていますか。リオデジャネイロや平昌で同種の発表がなかったのはなぜでしょう？　一時期盛り上がった「アノニマス」は、今どうなっているのでしょうか。

[宮田健，ITmedia]

辻伸弘氏

　＠ITでセキュリティフォーラムの担当編集者を務めていたときに、大変印象に残っている連載に「セキュリティ対策のある視点」がありました。連載を執筆していただいたのが、辻伸弘氏です。

　辻氏は現在、SBテクノロジーでエヴァンジェリスト的な活動をしており、2019年11月7日には、マカフィーが主催するセキュリティカンファレンス「MPOWER」で講演を予定されています。

　また、2019年12月に開催される「ITmedia エンタープライズセキュリティセミナー」においても登壇をお願いしているところで、打ち合わせの際に話が盛り上がりましたので、講演内容だけでなく、辻氏が現状について感じていることなどを、改めていろいろと聞いてみました。

バズワードを取り入れる前にやるべきことがある？

　混迷する脅威の現状、次々出てくる最新のソリューション……。昨今のエンタープライズITセキュリティは幅が広過ぎるため、何から手をつけるべきか迷っている人も多いと思います。そんな現状について辻氏は「事例をもっと見て、そこから自分たちへの脅威を想定したほうがいいと思います」と話します。

　昨今、情報セキュリティに関するインシデントの報道を聞くたびに、もしかしたら皆さんの組織も「ウチは大丈夫かな？」と考えるかもしれません。そこに対して、辻氏は「おわび文って書いたことあります？」と切り出してきました。

　おわび文には、必要な要素があります。何が起きたか、その背景と原因、そして再発防止策です。「脅威があり、対策に失敗したから、再発防止策を立てる。そのとき原因が分かってなかったとしたら、一体何の対策をするのかも見えません」（辻氏）

　インシデントの原因で最近ありがちなのが、「マルウェアや不審なリンクが含まれるメールをうっかり開いてしまった」「秘匿するべき情報がインターネットで公開されてしまっていた」などです。しかしこの問題が脆弱性を突いたものではなく、不正に取得したIDやパスワードを用いて発生していたのであれば、さらに「パスワードが弱かった」などという原因が加わります。「多層的な原因を把握できなければ、効果的な対策もできません」（辻氏）

　根本的な原因は、システムの規模が大きくなって適切な管理が難しくなったことや、同じ理由でそして責任の所在が曖昧になっていることかもしれません。本来なら、責任の所在はシステムの「発注者」、つまりユーザーにあります。しかし実態として、システムインテグレーター（SI）や委託先に任せきりというケースも少なくありません。これがインシデントの発生につながっているのではないでしょうか。

　「自分たちでチェックする、もしくは第三者に見てもらう、といったプロセスが抜けるとアクセス制御ミスにつながります。そのミスがきっかけで、標的型ランサムウェア攻撃や不正なリモートデスクトップ接続を受けてしまうのです。例えばポートを開ける際も、接続元の制限をしたり、強いパスワードでしっかり管理したり、監視の仕組みを構築したりといった、二重三重の対策が必要なのです」（辻氏）