サイバー攻撃は防げない--セキュリティの「常識」を知ってもらうには

國谷武史 (編集部)

2017-07-21 07:00

 個人や組織を問わず、セキュリティの脅威がもたらすさまざまな被害が毎日どこかで発生している。いざ被害に遭えば、「セキュリティ対策をしていたのに、なぜこんな目に遭うのか」と、歯がゆい思いに駆り立てられることもあるだろう。「セキュリティ対策では脅威を防げない」――。今のセキュリティ担当者にとって常識ともいえるこの事実は、まだ一般にはあまり認識されていない。

NTTデータ
NTTデータ セキュリティ技術部 サイバーセキュリティ統括部長の鴨田浩明氏。愛知県警のサイバー犯罪対策アドバイザーも務める

 NTTデータが先頃開催したテレビや新聞といったメディア向けのサイバーセキュリティ勉強会では、サイバー攻撃の実態やセキュリティ対策の現状について基本的な解説が行われた。その狙いは、「セキュリティ対策は今の脅威を防げない」という現実を広く周知することにあった。講演したNTTデータ サイバーセキュリティ統括部長の鴨田浩明氏は、「専門家が思っているほどには、一般にはセキュリティの現実が知られていない」と指摘する。

社長が分かってくれない

 特に企業や組織では、サイバーセキュリティが経営課題の1つに位置付けられるべき重要なテーマになった。脅威によって発生する膨大な個人情報などの流出、あるいは社会を支える重要なシステムの障害といった被害はその影響が極めて大きく、被害者はもちろん、当事者となる組織の存亡にもつながりかねかいリスクとなっているからだ。

 サイバーセキュリティの強化は、政府レベルでも推進されるようになり、国家戦略としても立案、実行される。セキュリティを推進する大きな流れは、現場を支える担当者にとって追い風になっているはずだが、実際には「セキュリティの予算増加が認められない」「対策を促してもなかなかしてくれない」といった状況に悩む日々が続く。

 「セキュリティ対策はコストとみなされ、経営層にその必要性をなかなか理解してもらえないという担当者は非常に多い。そこで、サイバー攻撃が実際にどうやって行われるのかを見てもらい、意識を変えていくのが1つの方法になる」(鴨田氏)

 勉強会では鴨田氏が、サイバー犯罪に使われる遠隔操作型のマルウェアを攻撃ツールで操る様子や、改ざんされたウェブサイトを通じてマルウェアに感染する「ドライブバイダウンロード」攻撃の流れ、SQLインジェクションの手法でウェブサイトのデータベースから個人情報を盗み取る方法をデモンストレーションした。

ツールでマルウェア「PoisonIvy」を遠隔操作しながら、感染したPCのデスクトップ画面をキャプチャするデモ''
ツールでマルウェア「PoisonIvy」を遠隔操作しながら、感染したPCのデスクトップ画面をキャプチャするデモ

 鴨田氏がデモンストレーションした攻撃例は、セキュリティ担当者やITに詳しい人にとってはおなじみのものばかりだろう。しかし、セキュリティに詳しくない多くの人にとっては、ニュースなどで聞いたことがあっても、実際に目にする機会はあまりない。サイバー攻撃自体が人間の目には見えないだけに、実体験は非常に難しいが、セキュリティの意識を変える上で体験に勝るものはない。

 もちろん実害を伴う体験ではいけないため、鴨田氏は「IPA(情報処理推進機構)が提供しているような体験ツールをまず活用してみてほしい」と話す。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]