セキュリティー事業本部
X-Force Red 日本リージョン責任者
エシカル・ハッカー
ブランドン・フォード(Brandon Ford)
孫子の兵法は「彼を知り、己を知れば百戦殆うからず」と述べている。これはサイバーセキュリティの世界にも大いに通じるところがあるだろう。
「彼(サイバー犯罪者)」の状況については、日々様々なメディアで被害が報じられている。また、公的機関によるさまざまな注意喚起やサイバーセキュリティ企業が提供する「脅威インテリジェンス」を活用することで、最新の情報を得ることができるだろう。
一方、「己」の姿はどうやって把握すればいいだろうか。
サイバー攻撃で悪用される「穴」はさまざまだ。いわゆる「脆弱性」が攻撃者に悪用されることもあれば、設定やアクセス権限の不備、パスワードが破られて重要なシステムや機密データへのアクセスを許すこともある。メールや電話口の話にユーザーがだまされ、重要な情報を漏らしてしまうことだってある。こうしたさまざまな手法に対する自社の耐性はどのくらいあり、どこに弱点があるのかを正確に把握することが対策の第一歩だ。
ただ、己の目だけに頼ってチェックしても、過信や思い込みによる見落としが意外と生じがちだ。事実、不正アクセスの原因をよくよく調査してみると、情報システム部も把握していなかった「抜け穴」が見つかることも多い。そうした事態を防ぐには、専門的な知見を持つ第三者の視点で「セキュリティソリューションを多数導入してはみたものの、本当に自社のリスクはカバーできているか」「どこかに弱点が残っており、攻撃者に不意を突かれる恐れはないか」を明らかにしていくことが重要だ。
3種類のテストを通じてセキュリティ対策の成熟度向上を支援
サイバーセキュリティの世界では以前から、このように「己」の姿を把握する作業を支援するセキュリティテスト用のツールやサービスが提供されてきた。アイ・ビー・エム(IBM)では、業界有数の経験と技術を有する200名を超えるエシカル・ハッカーやセキュリティリサーチャーで構成される専門チーム「X-Force Red」を通じてセキュリティ診断を提供している。
日本IBMセキュリティー事業本部のX-Force Red Japanリーダー、ブランドン・フォード氏は「顧客のシステムにどんな脆弱性があるかを特定し、それがどのように悪用されうるかを示す手伝いをしています。単に脆弱性を指摘するだけでなく、悪用の結果何が起こるか、たとえば企業システムに対するアクセス権限を不正に取得されたり、クリティカルな情報にアクセスされたり、あるいは意図に反する操作を行われて業務に混乱が生じたりする恐れがあることを、デモンストレーションを通じて明らかにしています」と説明した。
サイバー攻撃で悪用される「穴」はさまざまだ。いわゆる「脆弱性」が攻撃者に悪用されることもあれば、設定やアクセス権限の不備、パスワードが破られて重要なシステムや機密データへのアクセスを許すこともある。メールや電話口の話にユーザーがだまされ、重要な情報を漏らしてしまうことだってある。
サイバー犯罪者のさまざまな手法に対する自社の耐性はどのくらいあり、どこに弱点があるのかを正確に把握することが対策の第一歩だ。アイ・ビー・エム(IBM)では、業界有数の経験と技術を有する200名を超えるエシカル・ハッカーやセキュリティリサーチャーで構成される専門チーム「X-Force Red」を通じてセキュリティ診断を提供している。