海外コメンタリー

サイバー防衛は方針転換が不可避--セキュリティの将来を考える

Violet Blue (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2015年06月22日 06時15分

  • このエントリーをはてなブックマークに追加
  • 印刷

 防御は格好悪いという考え方を払拭しよう。

 われわれは、ハッキングされる側ではなく、ハッキングする側のことを神話化している。その事実が変わることはないだろうが、RAND Corporationの新しい報告書「The Defender's Dilemma」を踏まえると、何か手を打たなければならない。そうしないと大変なことになる。

 Juniper Networksの協力の下、RANDは米国時間6月10日に、サイバーセキュリティの将来についての多面的な研究結果をまとめた報告書、「The Defender's Dilemma: Charting a Course Toward Cybersecurity」(防御者のジレンマ:サイバーセキュリティへの進路計画)を発表した。

 この研究は、同社の前回の報告書「Markets for Cybercrime Tools and Stolen Data: Hackers' Bazaar」(サイバー犯罪ツールと盗まれたデータの市場:ハッカーバザール)ほど魅力的ではなく、前回の報告書のようにメディアで大きく取り上げられることはないだろう。

 しかし、サイバー攻撃をめぐる状況に強い興味がある人や、筆者のようなサイバー犯罪通からすれば、実はこの新しい研究結果の方が気がかりな点が多い。

 この報告書全体は、データの保護を仕事とする人々がいかに準備不足で、混乱をきたしており、支援を受けていないかという点について、冷や水を浴びせかけている。

 RANDは、最近のサイバーセキュリティ支出の急増と、その「疑問の余地がある成果」が組み合わさることで、「セキュリティ対策が現在の進路を保てない」状況が生まれているときっぱりと述べている。

 162ページもの大規模な報告書のために、RANDは「(18人の)最高情報セキュリティ責任者(CISO)への聞き取り調査と、サイバーセキュリティ業界の数々の最新製品のレビューを行い、さらにソフトウェア業界(およびその敵)が安全なソフトウェアを作る、あるいは(逆に)それを破るために行っている努力について分析」した。

 サイバーセキュリティへの支出は、世界全体で推定年間700億ドルに迫っており、1年で約10~15%のペースで増加している(減速する様子はない)。さらに、深刻な情報漏えいのニュースがほぼ毎日報じられている中で、防御関連の問題は答えを必要としている。

 RANDの報告書「Defender's Dilemma」は答えを見つけているが、それは心地よいものではない。

憂うつなCISO

 「Defender's Dilemma」の最初のいくつかの調査結果には、セキュリティ業界にいる人なら誰も驚かないだろう。しかしこの報告書は、以前からある見方に確固とした根拠を与えている。その見方とは、サイバーセキュリティ保険は心もとない投資だとか、脅威の情報があったときに打つべき手立てを実は誰も理解していないといったものだ。

 RANDはその調査で、リーダーたちは海で遭難し、岸に向かって漕ぐ意欲もほとんどない状態であることを指摘している。「積極的な防御という概念には、複数の意味があり、標準的な定義がなく、熱意を喚起することもほとんどない」

 報告書は、全体として「CISOは(サイバーセキュリティ防衛の)インセンティブについて明確なビジョンを欠いている」とも結論している。

 さらに、RANDの調査結果は、米国政府が役立つとは誰も確信していないことを示唆している。「われわれが聞き取り調査を行ったCISOは、政府によるサイバーセキュリティ改善の取り組みについては、攻撃の発生後に協力する意志があるということ以外には、あまり関心を示さなかった」

 情報漏えいが会社のイメージに影響を与えるということが最優先事項となった。「CISOにとって最大の心配の種は、サイバー攻撃が会社の(より直接的なコストではなく)信用に与える影響である」(RAND)

 RANDはさらにこう述べている。「影響を受けた可能性のある実際の知的財産やデータよりも、何らかの知的財産やデータが危険にさらされているという事実の方がはるかに重要とされている」

 分かるだろうか。今はデータの実際の安全性よりも、人々がそれをどう認識しているかの方が結局のところはるかに重要なのである。

 脇から見守っているわれわれの立場としては、このことは、サイバーセキュリティ分野のスタートアップが実質よりも体裁や関係性(万能の解決策の見込み)を重視することが増えてきているという、厄介な状況の理由を説明しているといえる。

 RANDが聞き取り調査でCISOに聞いた21の質問項目は、報告書に掲載されている。

「期待から痛みを伴うコミットメントへの行程」

 RANDの報告書は、企業における情報セキュリティの最近の残酷な成熟に対して厳しい視線を向けている。「企業は、自分たちがサイバー攻撃の可能性だけでなく、その影響を小さくする必要もあることを学ぶ中で、情報漏えい防止(DLP)プログラムや、バーチャルプライベートネットワーク(VPN)のより広範な使用に頼るようになった」

 もちろん、手段を講じれば、対抗手段が生じ、その連鎖は続く。「今度は攻撃者が、ステルス型ウイルスやコード難読化、ポリモルフィック型マルウェアの利用を拡大した。防御者はシグネチャではなく、ネットワークの挙動に基づいて攻撃を検出する方針に移行した。同じツールや手法が、防御者と攻撃者の両方によって使われている場合もあった」(RAND)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]