「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた(2/3 ページ)
米McAfeeの年次イベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営するITセキュリティジャーナリスト、ブライアン・クレブス氏が講演した。そこで語られた赤裸々な提言とは……?
「赤い薬」か「青い薬」か――経営陣はどちらかを飲み続けている
クレブス氏はこのことを映画「マトリックス」の1シーンに例えた。冒頭でハッカーのモーフィアスが、いま見えている現実は全て虚構で、その真実を知りたいのなら「赤い薬」を飲め、その事実から目をそらし、今の現実を受け入れたいのならば「青い薬」を飲めと判断を迫る。
「今のセキュリティも同じこと。侵害されていないと思うということは、その組織が“青い薬”を飲み続けているのだ。『自分のキャリアが失われるから、侵害が起きているという戦略は採りたくない』とトップが考えている。勇気を持って“赤い薬”を飲むべきだ」(クレブス氏)
同氏は続けて、サイバーセキュリティを理解している企業の考え方として、「そもそも安全であるという状態はない。リスクを許容できるレベルで運用できているという状態にあるということだけ」という発言を引用し、侵害を想定することが重要だと述べた。
2017年9月、米個人情報機関最大手のEquifaxが1億4300万人の個人情報を漏えいした事件が明らかになった。これ以前にも情報漏えいは起きており、「既に生年月日や電話番号などの情報は漏れている前提で考えるべき」とした。
「もう、この手の情報は販売されている。銀行などからよく、認証手段として誕生日や電話番号を聞かれるが、私がそれ以外の認証方法をとるように指摘すると『できない』といわれたことがある。すぐに別の銀行に資産を移した。もし、『自分の情報は大丈夫』と思う人がいたら、名刺をいただければすぐに調べますよ。検索にビットコインがかかるので、一杯おごってさえいただければ」(クレブス氏)
Equifaxの漏えいは、米国の人口の半数程度が情報漏えいの対象になった。この点に関して、多くの被害者がクレジットカードの再発行など、手間がかかる作業を強いられることになる。しかしクレブス氏は、この手間を面倒だと思わずに再発行すべきだと述べる。
「やらないよりはリスクが低いし、同じカード番号を継続していると漏えいした情報の価値も高まる。ぜひ作業をしてほしい」
関連記事
- “ツールが人間をサポートする”これからのセキュリティ、McAfeeがラスベガスで実演
米McAfeeの年次イベント「MPOWER:Cybersecurity Summit」がスタート。基調講演では、CEOなどが「ツールが人間をサポートする」というセキュリティツールのあるべき姿を語った。興味深いデモの紹介も含め、その様子をレポートする。 - AIを使ったサイバー攻撃はもう時間の問題――マカフィーが警告
マカフィーが、2017年4月〜6月(第2四半期)の脅威動向を公開。マルウェア/ランサムウェアともに前四半期に比べ、大幅に増加傾向にある。 - 新生マカフィーは協調を重視――新たに目指す3つのポイントとは
ブランドカラーが“青から赤に戻った”新生マカフィーが、今後の事業戦略について発表会を開いた。キーワードは「協調」だ。 - iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
Copyright © ITmedia, Inc. All Rights Reserved.