編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

情報流出は避けられない--求められるのはインシデント対応の進化 - (page 3)

Violet Blue (Special to ZDNet.com) 翻訳校正: 編集部

2015-03-23 06:15

 そうなると、Forresterの報告書には、失敗に関する同社のほろ苦いデータに加えて、「なぜ企業はインシデントレスポンス計画を立てられないでいるのか」ではなく、むしろ「なぜ企業のインシデントレスポンス計画は失敗するのか」という質問にも答えてもらいたいものだ。

 Murray氏は、自らがインシデントレスポンスに関わった経験から、全ての企業はインシデントレスポンス計画を立てているばかりでなく、それを実行する準備も整っていると述べた。しかし危機に陥った際に、役人や経営陣、さらに言えばIT部門の担当者でしっかりと行動を取るように準備できている人などいるのだろうか、とMurray氏は疑問を投げかける。

 「IT部門の人々は、緊急対応要員ではない」とMurray氏ははっきりと言う。「われわれは、消防士のようにストレスのある状況で物事に対応するような準備はできていないのに、それこそが必要とされている。緊急対応要員は、危機や災害に対応するよう訓練されているが、IT部門の人々はされていない」

 Targetの情報流出による被害は、予防策が原因だった。しかし、最高の緊急対応要員チームがいたら、その攻撃を受けた全ての人が被った、あらゆる種類の被害を軽減できたかどうかについては、ほとんど語られていない。

 原因はTargetの防衛線にあるとされ、その事実は変わらないが、その責任はもっと高いレベルにある。米国連邦議会上院による、この情報流出についての報告書によれば、「Targetは、同社の侵入検知ソフトウェアが提供した、攻撃者のいわば逃亡計画についての情報を見逃したため、攻撃者が1億1000万件もの顧客情報を盗むことを可能にした」という。

 大きな影響力を持つ議決権行使助言会社である、Institutional Shareholder Services(ISS)は、前例のないことではあるが、株主に対してTargetの10人の役員のうち、7人を辞任させるように助言している。ISSは投資家に向けた声明で、次のように述べている。「役員らがこうしたリスクを適切に管理できなかったことが、情報流出のきっかけとなり、同社とその株主に重大な損失を与える結果につながったように思える」

 Murray氏は、Forresterの主張の核心部分には、ずれが生じている点が多くあると説明している。経営陣は情報流出が「二度と起こらない」ようにすることに囚われているとする一方で、予防が攻撃に対する万能薬だという認識によって、インシデントレスポンス計画と意志決定は影が薄くなっているというのだ。

 データもこれを裏付けている。意志決定者に、大規模な情報流出の後の12カ月間でのセキュリティ支出の変化について質問したところ、セキュリティや監査の要件の追加が1位(35%)、「セキュリティやプライバシーを定期的に評価/議論すること」(それについて話すこと)が支出の2位(32%)、予防のための技術が3位(27%)であり、インシデントレスポンスは他よりも少なく、4位だった(24%)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    【講演資料】Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  2. セキュリティ

    SASEのすべてを1冊で理解、ユースケース、ネットワーキング機能、セキュリティ機能、10の利点

  3. ビジネスアプリケーション

    北海道庁、コロナワクチン接種の予約受付から結果登録まで一気通貫したワークフローを2週間で構築

  4. セキュリティ

    Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  5. セキュリティ

    セキュアなテレワーク推進に欠かせない「ゼロトラスト」、実装で重要な7項目と具体的な対処法

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]