海外コメンタリー

最大のセキュリティ脅威は社内にあり--“悪意のないミス”に要注意 - (page 3)

Chris Duckett (ZDNet.com.au) 翻訳校正: 村上雅章 野崎裕子

2017-11-30 06:30

 Grobman氏は、セキュリティにおけるその他さまざまな側面と同様、社内の脅威を撲滅することはできないだろうが、行動分析によって低減したり、大量データの流出を検知することはできるはずだと述べている。

 同氏は「問題を完全に解決できないまでも、ものごとを簡単に行えないようにする方法を考えるというのは、実現可能な重要な作業の1つだ」と述べている。

 またGrobman氏は、極端に走ってしまいユーザーや管理者などに不要な制約を課すことがないようにするのも重要だと述べている。

 同氏は「考える際に最も重要となるのは、企業におけるさまざまなリスクの正体を理解したうえで、実際は重視していないものごとのために人々に重荷を背負わせないようにしながら、本当に重視しているものごとに対して最も重要なリソースを投入し、ポリシーにも準拠できるような適切な統制レベルを設定できるようにすることだ」と述べる。さらに「また、重視しているものごとだけでなく、修復や軌道修正がより難しいものごとに対しても、注意する必要があると考えている」と述べている。

 「ネットワークインフラを保護する場合を考えてほしい。DoS攻撃によってインフラが被害を受けたとしても、そこからの回復については基本的に、長期間に及ぶ影響を考慮する必要はないはずだ。これはデータ侵害の場合とは異なっている。データ侵害の場合、データが個人情報であるか、知的財産であるか、あるいは長期的な視点で興味を引くものであったとしても、脆弱性を修正し、権限を修正しただけでは済まないはずだ。データが既に外部に流出しているのであれば、その被害は補償不可能とまではいかないまでも、ずっと大きなものとなる」(Grobman氏)

 Levy氏によると、社内にはネズミ捕りの仕掛けと、どの程度でそれが動作するのかを知っている人間が必ずいるため、企業はインシデント発生後の調査を可能にするとともに、保有している全コンピュータと資産の在庫を管理しておくことが重要だという。

 Burgess氏も同様の意見を持っており、契約者やサードパーティーのプロバイダーによるデータ漏えいの懸念に対処するなかで、企業はリスクを自らのものと認識し、サプライチェーンに問題をたらい回しにしてはいけないと述べている。

 「『私はACME sprocket engineeringを信頼し、作業の遂行を任せていた。よって、これは彼らの問題であり失態でもある』といった弁明はできないのだ」(Burgess氏)

 Burgess氏は、社内の脅威への対処と同様に、リスクを自らのものと認識するのはリーダーシップに対する課題であり、これは「プロジェクトにおける各種の問題を克服」し、必要な作業をすべて行うという、IT部門に対する課題と同様だと述べている。

 同氏は「それでも誰かが誤ったことをしでかす可能性はある。しかしそれは、まずいリーダーシップの一例でしかない」と述べるとともに、「優れた組織ではチェックとバランスが行き届いている。官僚的になりすぎないレベルで、最も貴重なデータに注意を払い、そのデータに何が起こっているのかを把握しているのだ」と述べている。

 「このような事態が実際に発生するという場合、それを防ぐにせよ、実際に発生した際に素早く対応するにせよ、まず問題を検出する必要がある。こういった事態を防げないという事実があるとはいえ、リスクの管理は可能なためだ。そしてリスクを管理するには、データと、そのデータに何が起こっているのかについて注意しておく必要がある」(Burgess氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]