標的型攻撃の流行や水面下でのサイバー紛争など、従来にも増して情報セキュリティの重要性が高まっている。米国防総省は7月にサイバー空間の防衛戦略を発表、陸海空に並ぶ作戦領域と位置づけたほどだ。
このような情勢のなか、米通信会社AT&Tで最高セキュリティ責任者(CSO)を務めるEdward G. Amoroso氏が、ZDNet Japanのメールインタビューに応じた。まさに偏在する脅威といえるAnonymousのような集団への対抗策、ソニーの「PlayStation Network(PSN)」のような一般消費者向けサービスのセキュリティ、そしてオーロラ作戦と国家間のサイバー戦争など、現在のセキュリティ問題について広く答えてもらった。
Edward G. Amoroso氏
――Anonymousのような集団に狙われた時、企業はどのような防御策を講じるべきでしょうか。つまり、本当に抵抗することはできるのでしょうか。サーバをシャットダウンするのが解決に一番近い方法なのでは?
近年高まるサイバー攻撃のリスクを最小限に抑えるためには、その攻撃の発生源が何かに関わらず、企業は次の3つの基本的な課題に取り組む必要があります。
- セキュリティコンプライアンス:インベントリ管理、脅威に対する認識、パッチの適用など、コンプライアンス上の基本的な課題すべてを確実かつ適切に満たすこと。
- セキュリティの基礎:コンプライアンスにとどまらず、「セキュリティの基礎」で導入が必要なID管理、インフラ、プロセスに関連する根本的な課題について、すべてのセキュリティチームが意識を高めること。
- セキュリティの基礎を超えて:セキュリティチームは、基礎的な事柄だけでなく予測不可能な要素も防御策に反映させること。これは多くの場合、ベンダーやサービスプロバイダーと研究開発分野で連携することで可能になります。
――技術、意識、そして体制の3つが必要なのですね。では、Anonymousに狙われた際の究極的な解決策は存在しないということになるのでは。狙われたとしても、被害を最小限に食い止める方策を探るべきという意味でしょうか。
コンピュータセキュリティの目的は、完璧な解決策を見つけることではなく、リスクを軽減して被害を最小限に抑えることにあります。完璧な解決策を探そうとするセキュリティチームは、徒労に終わることになるでしょう。
