同氏はRackspaceが主催したクラウドセキュリティのイベントで、不満のある従業員はインフラの安全性を損なう、と語った。
「仕事を好きな従業員や、嫌いな従業員は、少し調べるだけで簡単に見つかる。不満を持つ従業員は必ず存在する」と同氏は警告する。
Woodruff氏は、この種の攻撃への対策として、ログイン手順に2要素認証を採用することや、アクセスに物理デバイスを利用するなどの手段を紹介した。ところが、結果として顧客やユーザーを煩わしく感じさせてしまうため、多くの企業はこの種の対策に消極的だという。同氏は、教育が重要であり、ユーザーを自分自身や企業のシステムをリスクに晒さないよう教育する必要があると語った。
Rackspaceの最高セキュリティ責任者Brian Kelly氏は、企業はより安全にクラウドを利用する方法を模索していると話した。「わが社には、もっとも秘密性の高いデータを、多くのクラウドプロバイダに分散させる手法を編み出した顧客が数社ある。確かに、これを行うと、データを統合する処理は大変になる。しかしそれらの顧客は、これを実現する方法を考案し、いずれかのクラウドプロバイダで何らかの形で情報漏洩が起きても、一定のレベルの耐障害性を維持できることに満足している。2つ以上のプロバイダで情報漏洩が起こらない限り、守ろうとする秘密が漏れることはないからだ」(Kelly氏)
しかし、このアプローチにもリスクがある。Woodruff氏が指摘するとおり、この仕組みによって、ハッカーが攻撃対象にできるシステムの数は増えてしまう。「例えば6つか7つのシステムを利用しているとしよう。そのうちの1つには個人情報が、その他にはクレジットカードの情報が保管されている。そして、ハッカーがそれらの情報のうち1つだけを手に入れても役に立たない仕組みになっているとする。それでもわたしなら喜ぶ。なぜなら、侵入ポイントが増えるからだ」と同氏は言う。
ハッカーは、単純にデータを盗もうとするよりも、時間をかけて大きな獲物を得ることを目指すようになってきているという。
「昔は、ハッキングは壁の落書きのデジタル版だった。しかし今は、システムをハッキングして侵入したら、そこに居座って、何も手を触れずに待ち続けることが多くなっている。これは、その方が長期的には大きな獲物を得られるからだ。今のハッキングは、目立つためではなく、利益を得るためのものになってきている」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
