セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。
機密情報の流出など、企業をゆるがす事件が数々のメディアで報道されています。セキュリティインシデントの数はうなぎ登り。悪意を持つハッカー同士のコミュニティが形成されている今、ノウハウの共有が促進されたり、攻撃用のツールが開発されたりといった動きが、サイバーアタックを増殖させているのです。
ここの所で広く知られた事件としては、米国で小売店チェーンを大規模展開するターゲット社のケースがあります。最初の“入口”となったのは、店舗の空調管理を手がけるパートナー企業のシステムでした。そこに忍び込み、“本丸”システムにリモートログインするための情報を詐取。次いで、店舗内のPOSレジスターにマルウェアを仕込んで、顧客のクレジット/デビットカードのデータをごっそり盗み出すというものでした。問題解決のためにターゲット社に発生した費用は1億ドルを超えるとも言われています。
これは決して特殊な事件ではなく、同じようなことは、業種を問わず、しかも世界中の企業で起こり得ることなのです。ビジネス活動とITは一体のものとなっており、しかも企業システムは拡大化・複雑化の一途をたどっている。そのため、セキュリティ上、“完璧”なものを考えるのは非現実的とも言える状況です。
家に例えてみましょうか。レンガ造りで、ドアも窓もない建物を築けば、かなり安全なものとなります。でも、これじゃ豊かな生活は営めない。ドアも必要だし、窓だって一定の数がないと快適じゃないですよね。その上で、安全を担保するために「鍵をかける」という知恵が生まれたわけですが、施錠すべき箇所が増えるに従って、うっかり忘れるということが起きてしまう。企業システムでは、今、これと同じことが起きているように思うのです。
会員登録(無料)が必要です
- 1
- 2
- 3
- 次へ >
- 【第6回】すべてのIT施策は「運用高度化」の課題に通ず(2014/09/12)
- 【第5回】“まだら模様”に染まるIT基盤の危うさ(2014/09/03)
- 【第4回】要諦となるのは“内部犯行”を阻止できるシステム環境(2014/08/18)
- 【第2回】 運用高度化に欠かせない「自己責任」と「イニシアティブ」(2014/04/10)
- 【第1回】 守りの意識から脱却し、戦略的なシステムマネジメントへの転換を(2014/03/28)