「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた(1/3 ページ)
米McAfeeの年次イベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営するITセキュリティジャーナリスト、ブライアン・クレブス氏が講演した。そこで語られた赤裸々な提言とは……?
米McAfeeがラスベガスで開催しているイベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営する、米国で著名なITセキュリティジャーナリスト、ブライアン・クレブス氏が「Take the Red Pill」と題して講演を行った。
同氏はITセキュリティの現状に精通するだけでなく、実際にアンダーグラウンドで販売されている漏えい情報にもアクセスし、どこから漏えいされたものなのかを特定、実際に企業に問い合わせることもしている著名人だ。
2009年までワシントンポストに所属、その後独立して活動しており、米国において最も信頼されているITセキュリティジャーナリストの1人であり、Targetの情報漏えいインシデントは彼の独自の調査により明らかになったものだ。他にも不倫サイト、アシュレイ・マディソンの事件などでも同氏の活躍がある。2016年9月には同氏のブログに対し、当時としては史上最大規模のDDoS攻撃が行われたことも記憶に新しい。
今回は、本カンファレンスで語られた、ブライアン・クレブス氏の赤裸々な「提言」と、企業が情報漏えいに対して考えるべきポイントをレポートしよう。
「今、自社で情報漏えいが起きているとしたら」と仮定できるか?
クレブス氏の講演は「なぜ、情報漏えい事件が立て続けに起きるのか」という疑問の投げかけから始まった。
ジャーナリストとして、時間をかけてアンダーグラウンドの掲示板やブラックマーケットを観察し、“地下”で起きていることを見てきた同氏は、大きな漏えいデータが販売されていればそれを実際に購入し、どこから漏れたのか、誰が漏らしたのかを検証し、企業や組織が漏えいに気が付く前にその事実を知るという。
漏えいが疑われる企業に勤める知人にその事実を話すと、多くの場合は名前を出さないという条件で対応が得られるという。その根底には「経営層など上層部に現状を知ってほしい、という思いがあるようだ」とクレブス氏は語る。クレブス氏は、「正しいセキュリティ対策は、ツールやハードを導入することよりも、むしろ考え方やプライオリティなど、組織の文化に依存する」と述べる。
その点でクレブス氏は、セキュリティを考えるべき全ての企業に対し、「もし『情報漏えいや侵害が既に起きていると仮定せよ』と話したら、どう受け取るだろうか」と問いかける。多くの企業がセキュリティ対策に投資し、備えているという前提で、それでも「既に侵害が起きていると想定する」ことが重要だと述べる。
「侵害を想定する場合、特にセキュリティ担当者には相当なガッツが求められるだろう。どれだけ投資しても、侵害されているかもしれないと思う“謙虚さ”が求められるからだ。侵害が見つからなかったとき、自らの努力が足りないのかもしれないと考えることができるだろうか?」
関連記事
- “ツールが人間をサポートする”これからのセキュリティ、McAfeeがラスベガスで実演
米McAfeeの年次イベント「MPOWER:Cybersecurity Summit」がスタート。基調講演では、CEOなどが「ツールが人間をサポートする」というセキュリティツールのあるべき姿を語った。興味深いデモの紹介も含め、その様子をレポートする。 - AIを使ったサイバー攻撃はもう時間の問題――マカフィーが警告
マカフィーが、2017年4月〜6月(第2四半期)の脅威動向を公開。マルウェア/ランサムウェアともに前四半期に比べ、大幅に増加傾向にある。 - 新生マカフィーは協調を重視――新たに目指す3つのポイントとは
ブランドカラーが“青から赤に戻った”新生マカフィーが、今後の事業戦略について発表会を開いた。キーワードは「協調」だ。 - iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
Copyright © ITmedia, Inc. All Rights Reserved.