セキュリティは“先の見えない登山”だ 第一歩を踏み出すために有効な資料は:半径300メートルのIT
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。
先日、フィンランドのヘルシンキで開催された「SPHERE 23」に参加してきました。SPHERE 23はフィンランドに本社を持つセキュリティベンダーであるWithSecureが主催する大規模なイベントです。
セキュリティ関係者が集うセッションでは、第一線のリサーチャーである同社のミッコ・ヒッポネン氏や、かつてTwitter社のCISO(最高情報セキュリティ責任者)を務めていた、ピーター・ザトコ氏による講演が非常に興味深い内容でした。本イベントのレポートは順次公開予定です。
「SPHERE 23」に登壇したハッカー、ピーター・“マッジ”・ザトコ氏は、かつてグーグルが公開した「エキスパートたちのセキュリティ対策」で「セキュリティ識者は安全のため、第一にアップデートを推奨すると挙げたがそれは本当に正しいのか」と提言した(筆者撮影)
最古参級のハッカーともいえるザトコ氏の講演は「サイバーセキュリティの神話」と題され、非常に刺激的なものでした。特にセキュリティ識者が推奨する「即座にアップデートせよ」という提言こそが“神話”であると述べており、この一部だけを切り出してしまうと炎上してもおかしくないと思うほどの内容でした。これには“ただし3つの製品のセキュリティアップデートは即座に適用すべき”という言葉が続いたのですが、その理由と3つの製品についてはぜひ、レポートをチェックしてみてください。
もちろんこれは聞く側が「それなりに分かっている人である」いう前提でのトークでした。セキュリティにおいてはいきなり高度な話をしてしまうと誤解や思い込みが発生し、効果が半減してしまいます。このコラムはなるべく、最初の入り口からステップアップし、他のニュース記事などをスッと理解できるような立ち位置になれればと思っています。
「セキュリティなんてよく分からないよ」という方に向けた最初の入り口
セキュリティを登山に例えるなら、恐らく多くの人にとっては遠くからもそびえ立つ様子が見え、頂上付近には(いや、7合目くらいからは……)濃い霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を持つでしょう。それでも、最初の入り口はたくさん用意されています。それが無料で公開されているさまざまなドキュメント群です。
個人的には、最初の一歩として学研と情報処理推進機構(IPA)が作成した「サイバーセキュリティのひみつ」をお薦めしてきました。これは小学生高学年向けの資料ながら、大人にとっても非常に勉強になる内容に仕上がっています。2016年刊行なので若干古い内容ではあるものの、まずはここを入り口とするとはるかな山頂を目指して登るための助けになると思っています。
しかし「マンガではやはり……」という方や「会社でも活用したいので最新の情報が欲しい」という方も多いでしょう。そんな方にもお薦めできるのが、毎年恒例「情報セキュリティ10大脅威」の関連ドキュメントである「知っておきたい用語や仕組み」です。
同ドキュメントは、IPAが毎年公開している「情報セキュリティ10大脅威」に合わせ、10大脅威を読み解く上で必要なキーワードを解説されています。
ピックアップされているキーワードも「脆弱性」「多要素認証」「アップデート」など確実に理解しておく必要があるものから、「リスクベース認証」「クッキー」「VPN」など、できれば理解しておきたいものまでフォーカスされています。
特に「脆弱性」がその筆頭に上がっていることは、これこそが今、多くの組織を悩ませているサイバー攻撃のきっかけであることがうかがえます。本書は「情報セキュリティ10大脅威」に連動しているので、このドキュメントに目を通せば、現時点で最新の脅威を集めた10大脅威もさらりと読めるようになっているはずです。
「知っておきたい用語や仕組み」は組織だけでなく、個人も対象として書かれています。個人の場合、これらのキーワードを履修したら次は、内閣サイバーセキュリティセンター(NISC)の「インターネットの安全・安心ハンドブック」がお薦めです。
なぜセキュリティを学ぶ必要があるのか?
最近、ジェネレーティブAI(人工知能)と呼ばれる技術が破壊的な進化を遂げています。セキュリティにおいては、この技術の悪用を試みる“攻撃者側の”進化に関する報道を聞く機会が多いことでしょう。フィッシングメールを洗練させ、よりだましやすくすることに使うだけでなく、CEO(最高経営責任者)詐欺の発展系で、経営層の声や顔の情報からディープフェイク映像を作り出したり、電子メールの文章の特徴をAIによって抽出してディープフェイクテキストを作成したりといった悪用方法が想定されています。筆者の知る限り、その力を防御側に使うという明るい話は残念ながらまだ出てきていないように思えます。
しかし筆者は、この技術は必ず守る側にも展開されていくと、幾分楽観的に考えています。ただし、それはもう少し先の話になるでしょうから、今はまだ「セキュリティを積極的に学ぶ」必要があるでしょう。AIはまず、私たちがセキュリティを学ぶ手助けをしてくれるようになるはずです。しばらくの間は、私たち普通の人もやはりセキュリティに“一歩だけ”歩み寄る努力をしなければなりません。
先が見えなくても、一歩目を踏み出さねば話は始まりません。もしかしたら霧の向こうでは素晴らしいシェルパや、先の道を熟知したスペシャリストが、あなたを手助けしてくれるかもしれません。ぜひ、一歩目を今日から踏み出してみてください。みんながその山にチャレンジすれば、もしかしたら山の高さすらも変えられるかも……。
関連記事
- 生成AIはここまで悪用できる 社会現象を“捏造”するその実力とは?
WithSecureは生成AIに関するリサーチ結果を発表した。同調査は「ChatGPT」をはじめとした生成AIツールを悪用することでいかに社会現象を捏造し、フェイクをばらまくことができるかを明らかにしている。 - “脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 - 脆弱性対応は“ヒント”を見逃すな! サポート終了後のセキュリティパッチ提供が意味することとは
アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。 - Fortinet製品の脆弱性から考える セキュリティ対策は「Nデイ」に目を向けよ
Fortinetの複数製品における管理画面の脆弱性(CVE-2022-40684)が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.