「システムの多層防御は重要だ。しかし、それと同等に重要なのが、自社の従業員教育である。場合によっては(自社の従業員が)攻撃者以上の脅威となる」(Fortinet,FortiGuard Advanced Labsセキュリティストラテジスト、Jack Chan氏)
Fortinet,FortiGuard Advanced LabsセキュリティストラテジストであるJack Chan氏。従業員のセキュリティ意識向上と人材の育成の必要性を力説した
UTMアプライアンス(統合脅威管理)市場で高いシェアを持つFortinet。同社ラボでセキュリティストラテジストを務めるChan氏は、「どんなに堅牢なセキュリティ対策を講じても、アクセス権限を持つ従業員であれば、重要情報にアクセスできる。ITセキュリティは『技術』『プロセス』『人材』の3側面から対策を講じる必要がある」と指摘する。
適材適所に従業員を配したり、社員教育をしたりすることに企業はもっと注力すべきだとChan氏は説く。同時に、「アクセス権限を持ったIDであっても通常と異なる振る舞いをした場合、すぐにアラートが上がるようなシステムを構築する必要がある」と語る。
さらにChan氏は、「防御に重点を置くセキュリティ対策ではなく、脅威に対してプロアクティブに対策を講じることが重要だ」と説く。攻撃された部分に対して場当たり的に対処しても、攻撃者優位の状況は変わらない。「今後はデータマイニングやビッグデータ分析で攻撃パターンを予測し、攻撃者の先手を行く対策が打てるかどうかがカギになる」(Chan氏)
もう1つ同氏が「企業の課題」と指摘するのは、BYOD(企業での個人用デバイスの使用)の運用である。モバイルデバイスが急速に普及したアジア地域においてBYODは、ほぼ黙認されているのが現状だという。しかし、管理されていないデバイスを利用することは、企業ネットワークを危険にさらすことになる。攻撃者は脆弱な部分を狙うのが基本であり、セキュリティ対策の十分でないデバイスをマルウエアに感染させ、社内ネットワークへの不正侵入を試みるからだ。
Chan氏は「パソコンをターゲットしたマルウエアは、モバイルデバイスにも“転用”できると考えてよい。例えば、Androidを狙った時限式マルウエアなども確認されている。アジア地域では同マルウエアによる金融機関を狙った攻撃が相次いでおり、今後も攻撃件数は増加する」と指摘する。
こうした攻撃は、ひいてはIoT(モノのインターネット)のセキュリティにも大きく関連する。Chan氏は「製品ライフサイクル全体のプロセスに、セキュリティを組み込むことは必須である」と警鐘を鳴らす。実際、Fortinetでは複数の製造ベンダーに対し、セキュリティに配慮した設計(セキュアバイデザイン) の協力をしているという。
Chan氏はセッションで、検索エンジンに引っかかってこない(巡回プログラムで自動的に情報収集できない)「ダークウェブサイト」についてその一端を紹介した。上記図版は各国のインターネットユーザー数における「Tor」(匿名通信を可能にするソフト)の利用者数。色の濃い国がTorの利用者率が高い国だ
