海外コメンタリー

敵の視点で味方の弱点を発見する「ホワイトハッカー」はなぜ重要か

Owen Hughes (ZDNET.com) 翻訳校正: 石橋啓一郎

2022-08-01 06:30

 ITセキュリティの強化に投資する企業は増えているが、現在のサイバーセキュリティ対策の多くは本質的に事後対応であり、セキュリティ侵害が発生したとき(あるいは試みられたとき)にそれを検知し、適切に対応するためのソフトウェアツールに依存している。

PCの画面を見ながら話す人たち
提供:Getty

 しかし、サイバー攻撃の頻度は増え続けており、手口も高度化している。企業がサイバー脅威に対抗するためには、より積極的なアプローチを取る必要があることは明らかだ。そのため、企業が攻撃を受ける前にネットワークに存在する潜在的な脅威や弱点を特定し、相手の土俵でサイバー犯罪者に対抗できるよう支援するホワイトハッカーが求められている。

 ホワイトハッカー養成プラットフォーム「Hack the Box」の最高経営責任者(CEO)であるHaris Pylarinos氏は、「サイバーセキュリティツールだけにどれだけ投資しても、人的要素の必要性はなくならない」と話す。

 元ホワイトハッカーであり、15年以上にわたるペネトレーションテスターの経験を持つPylarinos氏は、サイバーセキュリティに対する一般的なアプローチは、ハッカーがサイバー攻撃に使用している手法や手口を反映していないという点で限界があると主張している。

 同氏の信念は、攻撃は最大の防御だということだ。Pylarinos氏は米ZDNetの取材に対して、「システムに不正にアクセスする手段を、独創的なものまで含めてすべて見つけるためには、攻撃者のように考え、攻撃者のように行動する必要がある」と述べている。

 最近の調査によれば、情報漏えいの80%は、サイバーセキュリティに関するスキル不足が原因で起きているという。

 一般的なサイバーセキュリティトレーニングでは、組織のサイバー攻撃に対する意識とレジリエンスを向上させることはできるが、セキュリティチームが敵の心理を読み取れるようになるような経験を積むことはできず、企業ネットワークのストレステストを行って、悪用される可能性がある欠陥を調べることに時間を割くこともないと同氏は言う。

 そこを担うのがホワイトハッカーだ。「彼らは敵の行動を真似て、ツールを使うだけでは発見できない穴を見つける」とPylarinos氏は言う。

 公的機関もホワイトハッカーの価値を理解し始めている。英国の内閣府は5月、政府に対してペネトレーションテストを行い、レッドチームとしての機能を提供し、「攻撃に使われるツールや手口をシミュレートする」ことを担当する、シニアホワイトハッカーの求人広告を出した

 Pylarinos氏は、「政府も、今日のような脅威が高まっている環境では、ほかの多くの組織と同じように、ハッキングする側の考え方を取り入れることが重要であることを理解しているのだろう」と考えを述べた。「サイバー犯罪者の先手を取るためにはその方法しかないことを考えれば、これは歓迎すべきことだ」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]