企業セキュリティの歩き方

サイバー攻撃者の視点を誰もが知っておくべき理由

武田一城

2021-08-23 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 今回からサイバー攻撃対策で重要な「攻撃者の視点」について述べていきたい。このテーマはよく言われるものの、実は「言うは易く行うは難し」だ。なぜなら、一般の人はもちろん、セキュリティ対策の専門家でも、サイバー攻撃の実行者との接点は全くないか、あってもごくまれにしかない。

 筆者の知る範囲では、SBテクノロジーでセキュリティのエバンジェリストを務める辻伸弘さんが、Twitterのダイレクトメッセージを通じて攻撃者と会話をしたくらいだ。そして、なぜか辻さんを気に入ってしまった攻撃者が、なぜか日本の脆弱なウェブサイトの一覧表を送ってくれたという。なお、その情報は辻さんが然るべき機関に通報して、適切に対応されたとのことだ。

 また、実際にサイバー攻撃を受けた際、守るべき情報の選別と管理やシステムの運用に携わる人なら、痕跡から攻撃者側の手法や何をしていったかなどを把握できるだろう。ただ、攻撃者の意図までくみ取ることは非常に難しい。そのため、ITに携わっていてもシステム運用などに関係のない立場では、サイバー攻撃の脅威をいろいろ説明されても、なかなか理解されないと思われる。そこで、「攻撃者がなぜ攻撃してくるのか?」ということについて述べる。

免罪符になりがちなセキュリティ対策

 「セキュリティ対策は重要です」「機密情報や個人情報は守られるべきです」――このような総論的な声がけが重要だと、セキュリティ専門家のみならずほとんどの人が賛成するだろう。それにも関わらず、企業や組織でセキュリティ対策がそれほど進んでいるようには見えない。この理由は何だろうか。

 恐らく、サイバー攻撃者の意図をきちんと抑えてないことから、自分たちがどのような攻撃を受けるのかも想定できておらず、攻撃パターンと、それに対する防御方法をどうするべきかを想定できていない状況なのだろう。こうなると、攻撃を検知できたとしても、その攻撃を実際に受けた場合にどう対処すればいいかが分からない。これでは、万全なセキュリティ対策をしているとは言えない。

 それでは、せっかくサイバー攻撃の動向を調査し、有効な製品やサービスを選択し、それを導入するための予算を申請し、実際に高額なセキュリティ製品やサービスを導入する。このような組織内の障壁を幾つも超えてセキュリティ対策を実施しても、残念ながらサイバー攻撃を防げないという事実が続くことになる。

 その結果、十分な効果を発揮させることを目的としてないアリバイ作りのようなセキュリティ対策が一定の割合で存在することとなる。これは、「手段が目的化している」とも言い換えられるもので、とてもではないが、実効性は見込めない。少々厳しい表現になるが、筆者はこのことを「免罪符型のセキュリティ対策」だと表現することがある。

 多額のコストをかけた根拠のない神頼みのようなセキュリティ対策は、本来なら営利組織である企業などで許されるものではない。しかし、インシデントが起きていないか、その事実にすら気づいていない企業にとって、何かが起こった場合の言い訳として、「一定のセキュリティ対策をしていました」という状況にしておくということ以上のモチベーションがないのだろう。そのため、このような状況を根絶するのは、なかなかに厳しい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]