ITセキュリティの強化に投資する企業は増えているが、現在のサイバーセキュリティ対策の多くは本質的に事後対応であり、セキュリティ侵害が発生したとき(あるいは試みられたとき)にそれを検知し、適切に対応するためのソフトウェアツールに依存している。
提供:Getty
しかし、サイバー攻撃の頻度は増え続けており、手口も高度化している。企業がサイバー脅威に対抗するためには、より積極的なアプローチを取る必要があることは明らかだ。そのため、企業が攻撃を受ける前にネットワークに存在する潜在的な脅威や弱点を特定し、相手の土俵でサイバー犯罪者に対抗できるよう支援するホワイトハッカーが求められている。
ホワイトハッカー養成プラットフォーム「Hack the Box」の最高経営責任者(CEO)であるHaris Pylarinos氏は、「サイバーセキュリティツールだけにどれだけ投資しても、人的要素の必要性はなくならない」と話す。
元ホワイトハッカーであり、15年以上にわたるペネトレーションテスターの経験を持つPylarinos氏は、サイバーセキュリティに対する一般的なアプローチは、ハッカーがサイバー攻撃に使用している手法や手口を反映していないという点で限界があると主張している。
同氏の信念は、攻撃は最大の防御だということだ。Pylarinos氏は米ZDNetの取材に対して、「システムに不正にアクセスする手段を、独創的なものまで含めてすべて見つけるためには、攻撃者のように考え、攻撃者のように行動する必要がある」と述べている。
最近の調査によれば、情報漏えいの80%は、サイバーセキュリティに関するスキル不足が原因で起きているという。
一般的なサイバーセキュリティトレーニングでは、組織のサイバー攻撃に対する意識とレジリエンスを向上させることはできるが、セキュリティチームが敵の心理を読み取れるようになるような経験を積むことはできず、企業ネットワークのストレステストを行って、悪用される可能性がある欠陥を調べることに時間を割くこともないと同氏は言う。
そこを担うのがホワイトハッカーだ。「彼らは敵の行動を真似て、ツールを使うだけでは発見できない穴を見つける」とPylarinos氏は言う。
公的機関もホワイトハッカーの価値を理解し始めている。英国の内閣府は5月、政府に対してペネトレーションテストを行い、レッドチームとしての機能を提供し、「攻撃に使われるツールや手口をシミュレートする」ことを担当する、シニアホワイトハッカーの求人広告を出した。
Pylarinos氏は、「政府も、今日のような脅威が高まっている環境では、ほかの多くの組織と同じように、ハッキングする側の考え方を取り入れることが重要であることを理解しているのだろう」と考えを述べた。「サイバー犯罪者の先手を取るためにはその方法しかないことを考えれば、これは歓迎すべきことだ」