「使えないシステムにカネ消えた……」 そんな状況を変えるには?:ハギーのデジタル道しるべ(2/4 ページ)
日本はIoTやビッグデータといった新しいモノが好きだ。そんな企業のトップからは、情報セキュリティの仕事にちょっと後悔を感じるほどの残念な声を聞く。だからこそ、新しいモノを失敗させない方法を提示してみたい。
情報セキュリティで心配な4つの傾向
筆者は情報セキュリティのコンサルタントなので、企業経営に何ら異議を唱えることはできないが、「心配していた通りになった」というケースを数え切れないほど見てきた。情報セキュリティに限ってもあまりに数が多いが、ここ数年における顕著な傾向が4つほどある。
傾向1:論理的におかしい「あやしいメールは開くな」
「情報セキュリティ管理者養成コース」でこのことを言うようになったのは、現在のような「標的型メール攻撃」がほとんど認知されていない6年近くも前だ。なぜ論理的におかしいのかといえば、攻撃メールの検知を「怪しい」という人のカンに委ねているからである。もっと、もっと成すべきことが他に多々ある。「人事尽くして天命を待つ」ではないが、やるべきことを十分に対処した上で、最後の砦として人間に注意喚起するというなら納得がいく。しかし、マスコミが取り上げた団体・企業でそうした対応はほとんどなされていない。
それにもかかわらず、インターネットで「怪しいメールの見分け方」という記事が公開された時にはビックリした。これを見て不慣れな人がアダルトメール程度を見破れるようにはなるだろうが、企業をピンポイントで狙い、多額の価値ある情報を入手しようとするサイバー犯罪組織の攻撃メールはまず無理である。彼らはこの記事をみていち早く対応をしているし、非常に優秀な数学者などを大量に雇用して攻撃メールを作り、送信している。そのような組織が、この内容について対応をしないわけがないと、なぜ気が付かないのだろうか。
筆者は「犯罪組織を甘く見てはいけない」と進言してきたが、なかなか聞いて(理解して)いただけない……。
傾向2:「あやしいメールが届いた」で始まるサイバー演習
近年は官公庁や大企業などでサイバー演習が大々的に行われている。実施すること自体は良いと思うが、そこで使われるシナリオの多くが、「怪しいメールを見つけた」から始まっているのだ。演習の目的は、人が「あれ? おかしいメールだ!」と気が付いた場合の対応フローを確認することにあるようだ。
それは有意義だが、傾向1で述べたように、そもそも「あやしい」と見抜けない実情があるのに、気が付いたことを演習の出発点にするのはおかしいと思う。人間が気付けないのなら、システムが自動的にメールの内容を検査したり、サンドボックス内部で開封して挙動をチェックしたりして、それでも見抜けない攻撃メールが発生した場合の対応を確認するというシナリオの方が、はるかに現実的だろう。最近も某旅行会社で多数の情報漏えいが発生し、一時話題になった。マスコミの取材に担当者は、「政府と同じような演習も社内でもしていたが……」と発言している。それでは防げないと気が付いてほしい。
関連記事
- セキュリティ対策最大の懸念は「コスト」――日本企業の意識
IT調査会社のガートナーは、日本企業のセキュリティへの取り組みに関する調査結果を発表した。 - 年金機構事件から1年、日本が至急やるべき10の対策と心構え
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。 - 多額のセキュリティ投資と立派な製品を導入した残念な企業の一面
しばし経営者から、「セキュリティ投資をしたのに、マスコミに騒がれた」「対策を強化しても、また内部犯罪だよ」と言われる。「筆者を採用すれば解決しますよ」と冗談を言っているが、こういう経営者の“セキュリティ”問題とは何か? - 日本のセキュリティはなぜ米国に劣るのか?
2014年はセキュリティの出来事に沸いた一年になりそうだ。今回は日本のセキュリティの実態について専門の視点から考察してみたい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.