編集部からのお知らせ
解説:1st ? 2nd ? 3rd ? データ活用での選択
セキュリティの懸念高まる産業用制御機器

AT&T最高セキュリティ責任者、ソニーPSNからサイバー戦争までを語る

田中好伸 (編集部)

2011-10-19 17:42

 標的型攻撃の流行や水面下でのサイバー紛争など、従来にも増して情報セキュリティの重要性が高まっている。米国防総省は7月にサイバー空間の防衛戦略を発表、陸海空に並ぶ作戦領域と位置づけたほどだ。

 このような情勢のなか、米通信会社AT&Tで最高セキュリティ責任者(CSO)を務めるEdward G. Amoroso氏が、ZDNet Japanのメールインタビューに応じた。まさに偏在する脅威といえるAnonymousのような集団への対抗策、ソニーの「PlayStation Network(PSN)」のような一般消費者向けサービスのセキュリティ、そしてオーロラ作戦と国家間のサイバー戦争など、現在のセキュリティ問題について広く答えてもらった。

Edward G. Amoroso氏
Edward G. Amoroso氏

――Anonymousのような集団に狙われた時、企業はどのような防御策を講じるべきでしょうか。つまり、本当に抵抗することはできるのでしょうか。サーバをシャットダウンするのが解決に一番近い方法なのでは?

 近年高まるサイバー攻撃のリスクを最小限に抑えるためには、その攻撃の発生源が何かに関わらず、企業は次の3つの基本的な課題に取り組む必要があります。

  1. セキュリティコンプライアンス:インベントリ管理、脅威に対する認識、パッチの適用など、コンプライアンス上の基本的な課題すべてを確実かつ適切に満たすこと。
  2. セキュリティの基礎:コンプライアンスにとどまらず、「セキュリティの基礎」で導入が必要なID管理、インフラ、プロセスに関連する根本的な課題について、すべてのセキュリティチームが意識を高めること。
  3. セキュリティの基礎を超えて:セキュリティチームは、基礎的な事柄だけでなく予測不可能な要素も防御策に反映させること。これは多くの場合、ベンダーやサービスプロバイダーと研究開発分野で連携することで可能になります。

――技術、意識、そして体制の3つが必要なのですね。では、Anonymousに狙われた際の究極的な解決策は存在しないということになるのでは。狙われたとしても、被害を最小限に食い止める方策を探るべきという意味でしょうか。

 コンピュータセキュリティの目的は、完璧な解決策を見つけることではなく、リスクを軽減して被害を最小限に抑えることにあります。完璧な解決策を探そうとするセキュリティチームは、徒労に終わることになるでしょう。

――オーロラ作戦のような特定の企業を標的とする攻撃や、Stuxnetのような特定の産業機器を狙う攻撃が増加しています。こうした標的型攻撃に有効な防御策はありますか。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]