どんな攻撃にも耐え得る体制を作るのは現実的ではない。専門家は、脅威の種類や影響度を理解した上で妥協点を探るとともに、無駄を徹底排除して投資効果を最大化することをポイントに挙げる。
企業情報システムを脅かす攻撃の手口はますます巧妙化している。例えば、ボットネット。ウイルスなどの形でPCやサーバーに遠隔操作用のプログラムを忍ばせておき、コントロール下にある大量のコンピュータを一斉に支配して多面的に攻撃を仕掛ける。
具体的には、迷惑メールの一斉送信や特定のサーバーに負荷をかけてダウンさせる(あるいは侵入する)といったことが可能だ。大規模で複雑なネットワークを介しているだけに、大元の指令者が誰かを特定するのは難しい。ほかにも、フィッシングやSQLインジェクション、クロスサイトスクリプション、MITM(Man-In-The-Middle)など、さまざまな手法が世に登場している(図1-1の左)。
「愉快犯は激減し、ほとんどが金銭目的の攻撃」(HASHコンサルティングの徳丸浩・代表取締役)というのはセキュリティ専門家に一致した意見だ。機密情報を闇マーケットで売りさばいたり、盗んだクレジットカード情報で不正換金したりするのが最終目的である。
近年は、ネットを介した攻撃側のコミュニティも存在し、「分業体制によるプロ集団化が進んでいる」(フィッシング対策協議会の山田良史・主任研究員)。CaaS(Crimeware as a Service)としてボットネットを貸し出すサービス、データ詐取ツールの開発/提供、データ売買のマーケット運営など、望まざる協力体制が形成されている。
社外からの攻撃もさることながら、社内にも多数の脅威が潜んでいる(図1-1)。三菱UFJ銀行が4月、元社員が顧客148万人分の個人情報を不正に持ち出し、うち5万人近い情報を名簿業者に売却していた事実を明らかにしたのは記憶に新しい。情報漏洩など報道で明らかになるセキュリティ上の事件を見ると、従業員や取引先関係者の不正行為や人為的ミスによるものが、社外からの攻撃よりも目立つ。
脅威が多様化する中、企業はどのような姿勢で対策に臨むべきなのか。鉄壁の守りを築くのは理想だが、実際にはそうはいかない。各種の対策ソフトを次々に導入し、アリの一穴をも見逃さない厳格な体制を敷こうとすると、投資がかさむばかりか社員の生産性やモチベーションを下げることにもなりかねない(図1-2)。
特にこの不況下でIT予算が限られる状況では、投資と効果を天秤にかけ、一定レベルの堅牢度を保持するのが現実解。誤解を恐れずいうなら「完璧を目指さず妥協する」ことが重要な決断となる。
S&Jコンサルティング 代表取締役の三輪信雄氏は「妥協点から先に、どんなリスクが潜在していのかを経営陣やIT部門がきちんと認識しておくことこそが大事だ。非常事態が起きた時、影響を最小限に抑える指揮系統と採るべき行動を決めておくことが欠かせない」と指摘する。つまり、すべてITで解決しようとするのではなく「人間系によるカバー」にも思慮を巡らすのだ。
●Next:今こそ必要な、セキュリティ強化と業務効率化を両立するアプローチ
会員登録(無料)が必要です
- 1
- 2
- 次へ >