標的型攻撃を受けたヤフー、語られた対策とは？（4/4 ページ）

2013年に不正アクセスでユーザー情報が流出したヤフー。同社がこの事件で得た教訓も基づく標的型攻撃対策の視点を語った。

[國谷武史，ITmedia]

対策は終わらない

　事件後も同社は、保有する情報や権限の棚卸、検知されたアラートやログの分析、監視や運用体制の改善、セキュリティ教育や啓蒙、攻撃者の視点を用いた監査、セキュリティ情報への注視といった“地道な”取り組みを継続してという。社員の意識も変わってきたというが高氏は、「セキュリティ対策は終わらない」とも語る。

　恒常的にセキュリティ対策を実施していく上で、まず“絶対条件”になるというのが経営層との合意になる。対策には費用と人が必要であり、社内の限られたリソースを使うためにはトップの理解を得ておかないと難しい。経営層への説明ではセキュリティ対策が利益につながるという視点も大事であり、収益といった直接的なものではないが、顧客などからの信頼やブランドイメージといったビジネスに貢献するものであることを伝えていく。

　また、ここまでに挙げた防御ポイントや事故対応体制といったものが機能するために、社内が“チーム”として動ける環境づくりも欠かせない。いざという時に備えサイバー攻撃対応の演習や訓練なども実施する。高氏は脅威との戦いにおける極意を、「完封は目指さない。エラーは少なく、ファインプレーには期待せず、点を取られても試合に勝つ」と紹介している。

　一連の攻撃の対応費用はそれなり規模になったというが、高氏は金額以上に「開発リソースも含めて1カ月以上もの時間を失ったことが最大の損失だ」と話す。ユーザーを守り、ビジネスを止めないためのセキュリティ対策は同社にとって礎になっているようだ。