K・ミトニック:「セキュリティ対策の鍵はハイテクよりも従業員」

David Braue (ZDNet Australia)

2005-03-07 12:58

 かつてハッカーとして名をとどろかせたKevin Mitnickが、技術重視のセキュリティ戦略に対して警鐘を鳴らした。ネットワークの安全性を保つためには、従業員が部外者に毅然とした態度を取るよう教育するべきだというのが同氏の主張だ。

 Mitnickは、MotorolaやNokiaといった企業のネットワークに侵入したことで知られるサイバースペースの伝説的人物だ。同氏は現地時間3日に、オーストラリアのメルボルンで開催された東芝主催のMobileXchangeというイベントで講演を行った。

 FBIに15年間追われた後、Mitnickは1995年に逮捕され、刑務所に約4年間服役した。年を重ね分別も身につけた同氏は、現在ロサンゼルスを拠点にセキュリティコンサルタントとして活動している。

 多くの企業は、セキュリティ技術に多額の投資をすることでネットワークを守ろうとしているが、どんなに強固なものであっても、自分には通用しないとMitnickは指摘。そして、周到な計画にもとづくソーシャルエンジニアリングや、ちょっとしたゴミ箱あさりをすれば、大半の企業でセキュリティ対策の最も手薄な部分--つまり従業員の過失を突くことができると述べた。

 「ゴミのなかには実に驚くべきものが含まれている。メモ、手紙の下書き、ソースコードのプリントアウトや、進行中のプロジェクトに関する文書のプリントアウトなどまで捨てられている。場合によっては、書き取られたパスワードやアクセス情報を見つけることもできるし、話したり会ったりした相手の一覧が書き込まれたカレンダーが捨てられていることもある」(Mitnick)

 こうした情報はハッカーにとっては計り知れない価値を持つ。これらの手がかりを利用すれば、従業員を装ったり、社内のヘルプデスクに電話をかけたり、または関係者のふりをするなどの手口で、企業への侵入を試みることができてしまうからだ。Mitnickによると、人はもっともらしいことを言う見知らぬ人間に疑いを抱きながらも、彼らをなかなか拒絶しないものだという。そのため、口のうまさを利用するほうが、力まかせに技術的な攻撃を仕掛けるよりもずっと簡単に、標的とする企業のネットワークに近づけるという。

 さらに、たとえば会議室に数分間でも忍び込めれば、無線アクセスポイントを密かに設置して、建物の外に止めたクルマの中からでも内部のネットワークにアクセスできるようなバックドアを仕掛けることが可能になる。

 このようなセキュリティ問題を解決するには、明瞭なセキュリティポリシーを規定し、それに沿って部外者への対応や情報の取り扱いを行えばいいが、ただしこれは簡単に思いつくが実行が難しい場合が多い。従業員には、判断がつきかねる場合は、自分の独断で対応したり、ハッカーの要求を飲んでしまったりするのではなく、必ずポリシーに沿って行動するよう言い聞かせる必要があると同氏は述べた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]