海外コメンタリー

サイバー防衛は方針転換が不可避--セキュリティの将来を考える

Violet Blue (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-06-22 06:15

 防御は格好悪いという考え方を払拭しよう。

 われわれは、ハッキングされる側ではなく、ハッキングする側のことを神話化している。その事実が変わることはないだろうが、RAND Corporationの新しい報告書「The Defender's Dilemma」を踏まえると、何か手を打たなければならない。そうしないと大変なことになる。

 Juniper Networksの協力の下、RANDは米国時間6月10日に、サイバーセキュリティの将来についての多面的な研究結果をまとめた報告書、「The Defender's Dilemma: Charting a Course Toward Cybersecurity」(防御者のジレンマ:サイバーセキュリティへの進路計画)を発表した。

 この研究は、同社の前回の報告書「Markets for Cybercrime Tools and Stolen Data: Hackers' Bazaar」(サイバー犯罪ツールと盗まれたデータの市場:ハッカーバザール)ほど魅力的ではなく、前回の報告書のようにメディアで大きく取り上げられることはないだろう。

 しかし、サイバー攻撃をめぐる状況に強い興味がある人や、筆者のようなサイバー犯罪通からすれば、実はこの新しい研究結果の方が気がかりな点が多い。

 この報告書全体は、データの保護を仕事とする人々がいかに準備不足で、混乱をきたしており、支援を受けていないかという点について、冷や水を浴びせかけている。

 RANDは、最近のサイバーセキュリティ支出の急増と、その「疑問の余地がある成果」が組み合わさることで、「セキュリティ対策が現在の進路を保てない」状況が生まれているときっぱりと述べている。

 162ページもの大規模な報告書のために、RANDは「(18人の)最高情報セキュリティ責任者(CISO)への聞き取り調査と、サイバーセキュリティ業界の数々の最新製品のレビューを行い、さらにソフトウェア業界(およびその敵)が安全なソフトウェアを作る、あるいは(逆に)それを破るために行っている努力について分析」した。

 サイバーセキュリティへの支出は、世界全体で推定年間700億ドルに迫っており、1年で約10~15%のペースで増加している(減速する様子はない)。さらに、深刻な情報漏えいのニュースがほぼ毎日報じられている中で、防御関連の問題は答えを必要としている。

 RANDの報告書「Defender's Dilemma」は答えを見つけているが、それは心地よいものではない。

憂うつなCISO

 「Defender's Dilemma」の最初のいくつかの調査結果には、セキュリティ業界にいる人なら誰も驚かないだろう。しかしこの報告書は、以前からある見方に確固とした根拠を与えている。その見方とは、サイバーセキュリティ保険は心もとない投資だとか、脅威の情報があったときに打つべき手立てを実は誰も理解していないといったものだ。

 RANDはその調査で、リーダーたちは海で遭難し、岸に向かって漕ぐ意欲もほとんどない状態であることを指摘している。「積極的な防御という概念には、複数の意味があり、標準的な定義がなく、熱意を喚起することもほとんどない」

 報告書は、全体として「CISOは(サイバーセキュリティ防衛の)インセンティブについて明確なビジョンを欠いている」とも結論している。

 さらに、RANDの調査結果は、米国政府が役立つとは誰も確信していないことを示唆している。「われわれが聞き取り調査を行ったCISOは、政府によるサイバーセキュリティ改善の取り組みについては、攻撃の発生後に協力する意志があるということ以外には、あまり関心を示さなかった」

 情報漏えいが会社のイメージに影響を与えるということが最優先事項となった。「CISOにとって最大の心配の種は、サイバー攻撃が会社の(より直接的なコストではなく)信用に与える影響である」(RAND)

 RANDはさらにこう述べている。「影響を受けた可能性のある実際の知的財産やデータよりも、何らかの知的財産やデータが危険にさらされているという事実の方がはるかに重要とされている」

 分かるだろうか。今はデータの実際の安全性よりも、人々がそれをどう認識しているかの方が結局のところはるかに重要なのである。

 脇から見守っているわれわれの立場としては、このことは、サイバーセキュリティ分野のスタートアップが実質よりも体裁や関係性(万能の解決策の見込み)を重視することが増えてきているという、厄介な状況の理由を説明しているといえる。

 RANDが聞き取り調査でCISOに聞いた21の質問項目は、報告書に掲載されている。

「期待から痛みを伴うコミットメントへの行程」

 RANDの報告書は、企業における情報セキュリティの最近の残酷な成熟に対して厳しい視線を向けている。「企業は、自分たちがサイバー攻撃の可能性だけでなく、その影響を小さくする必要もあることを学ぶ中で、情報漏えい防止(DLP)プログラムや、バーチャルプライベートネットワーク(VPN)のより広範な使用に頼るようになった」

 もちろん、手段を講じれば、対抗手段が生じ、その連鎖は続く。「今度は攻撃者が、ステルス型ウイルスやコード難読化、ポリモルフィック型マルウェアの利用を拡大した。防御者はシグネチャではなく、ネットワークの挙動に基づいて攻撃を検出する方針に移行した。同じツールや手法が、防御者と攻撃者の両方によって使われている場合もあった」(RAND)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]