“凶悪なライオン”から身を守る キアラン・マーティン氏が語るサイバー脅威への反撃方法
サイバーセキュリティ攻撃が巧妙化する中で、組織はどのように対処すべきなのか。「『人間こそが最も弱い鎖』という言葉を禁句に」と話すキアラン・マーティン氏が反撃方法を解説した。
国際的な非営利会員団体でCISSPの認定機関である(ISC)²が主催するイベント「(ISC)²Security Congress 2022」(開催期間:2022年10月8〜12日)が米ラスベガスにて開催された。
2022年10月11日には、National Cyber Security Centre(英国国家ナショナルサイバーセキュリティセンター)の創設者であるキアラン・マーティン氏が「Cybersecurity Insights」と題した基調講演を行い、「デジタルへの世界的な不安を前に、私たちがどのように反撃すべきか」が語られた。
今そこにある課題 どう立ち向かう
マーティン氏は講演の冒頭で「サイバーセキュリティを考えるのは『私たち自身』『家族の安全』『組織』『働く会社』のためであり、サイバースペースは共有地として守るべき対象だ」と述べた。
マーティン氏は、これらを実現する上で立ちはだかる問題として「構造的なデジタル環境の不安定さ」「危害の根源にあるもの」「危害が及ぼす影響」の3つを挙げる。
マーティン氏は問題提起に伴い、“インターネットの父”であるヴィントン・サーフ博士の話を挙げた。マーティン氏は「かつて、サーフ博士がTCP/IP(インターネットプロトコルスイート)を作り出したとき、彼は『これが後にデジタルスーパーハイウェイにつながるとは予想できなかった』と述べた」と話し、「2019年にサーフ博士は『人々がネットワークを利用して意図的に窃盗や詐欺を行うことも想定していなかった』と述べた」と続けた。
これについてマーティン氏は「ネットワークはセキュリティを考慮せずに作られており、想定外の負荷にさらされている。将来のサイバーセキュリティを考える際に構造的なデジタル環境の不安定さを知ることはとても重要だ」と見解を述べた。
「現在、国家間でもサイバー空間の不安定さを悪用する攻撃が行われている。かつては映画『ウォー・ゲーム』(1983年)のようにティーンエージャーがハッキングを行い、壊滅的な核戦争の可能性を表現していた。しかし実際に起きていることは小さな害の集合体のようなものだ」(マーティン氏)
この「小さな害の集合体」には、「盗まれる」「弱体化させられる」「傷つけられる」といった3つのグループに分けられる悪質なサイバー行為があるとマーティン氏は指摘する。
この状況で“反撃”を行うには
マーティン氏はこれらの現状を踏まえ、どう“反撃”すべきかを解説した。同氏はまず「反撃にはリスクを管理してパートナーシップを持ち、協力し合い、そして安全なデジタル環境のためのビジョンに従うことが重要だ」と指摘する。
「サイバーセキュリティのリスクの中には凶悪で犯罪的なものがある。例えば、ライオンから逃げるようなものだ。私たちはライオンよりも速く走る必要はないが、ライオンから逃げている他の人たちよりも速く走らなければならない」(マーティン氏)
マーティン氏は続けて、「反撃には非技術的な要素を含めた『レジリエンス』(回復力)が重要だ」と述べた。その上でリスクを可能な限り最小化し、ガバナンスの在り方を検討する。組織はセキュリティ向上のためにリスクと組織が持つ技術的能力を把握し、その仕組みを理解する人材を獲得する必要がある。これをマーティン氏は「サイバーディフェンスの三重奏」と表現した。
「組織で起きている問題の1つは、人々が右往左往していることだ。ガバナンスが全てだ。取締役会が組織への伝達やトレーニング、その他の責任を持つことが重要だ」(マーティン氏)
「人間こそが最も弱い鎖」という言葉を禁句にせよ
マーティン氏は「『人間こそが最も弱い鎖』という言葉をサイバーセキュリティにおいて禁句にしたい」と述べる。
「スポーツファンの方は『あいつがいなければあのチームは素晴らしいものになるのに』と思うときがあるかもしれない。もし本当に皆さんが誰かを悪役にしたいのならば、新しい人を入れればいい。しかし、本当にその人が原因なのだろうか。優秀なチームの誰かがリンクをクリックして、ランサムウェア被害に遭ったらその人の責任なのだろうか。私は違うと思う」(マーティン氏)
マーティン氏は「世界各国に存在するオープンなコミュニティーのつながりがより良いデジタル環境を構築できる」と話し、「未来を完全には予測できないが、セキュリティに対する考え方を良い方向には変えられる。新たなテクノロジーも安全性とセキュリティの確保に時間がかかっているだけで、技術があれば必ず未来は実現できる。将来を見据える上で、自分にとってだけではなく『家族にとって良いこと』『組織にとって良いこと』を考えよう」と述べ、講演を締めくくった。
関連記事
- 量子暗号通信から秘密計算まで NECがセキュリティ技術の研究開発を解説
NECがセキュリティ関連技術への投資の状況とその成果をメディア向けに発表した。SBOM管理の透明性を向上させる技術の他、量子暗号や秘密計算の分野でも研究成果の実用化を進める。 - Fortinet製品の脆弱性から考える セキュリティ対策は「Nデイ」に目を向けよ
Fortinetの複数製品における管理画面の脆弱性(CVE-2022-40684)が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。 - クラウドストライクがセキュリティ新製品をリリース 「人手もコストも割けない」小規模企業の課題解決を図る
大企業だけでなく小規模企業が脅威にさらされるようになった現在、サイバーセキュリティの在り方も変わりつつある。重要インフラシステムの攻撃に対する脆弱(ぜいじゃく)さも引き続き課題となっている。クラウドストライクはこうした状況にいかに対応するのか。同社が発表する新製品を見ていこう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.