[キーパーソンが語るシステムマネジメント高度化の意義]

【第3回】元ハッカーが指南するセキュリティ対策の基本とは?

2014年5月21日(水)

セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。

 機密情報の流出など、企業をゆるがす事件が数々のメディアで報道されています。セキュリティインシデントの数はうなぎ登り。悪意を持つハッカー同士のコミュニティが形成されている今、ノウハウの共有が促進されたり、攻撃用のツールが開発されたりといった動きが、サイバーアタックを増殖させているのです。

 ここの所で広く知られた事件としては、米国で小売店チェーンを大規模展開するターゲット社のケースがあります。最初の“入口”となったのは、店舗の空調管理を手がけるパートナー企業のシステムでした。そこに忍び込み、“本丸”システムにリモートログインするための情報を詐取。次いで、店舗内のPOSレジスターにマルウェアを仕込んで、顧客のクレジット/デビットカードのデータをごっそり盗み出すというものでした。問題解決のためにターゲット社に発生した費用は1億ドルを超えるとも言われています。

 これは決して特殊な事件ではなく、同じようなことは、業種を問わず、しかも世界中の企業で起こり得ることなのです。ビジネス活動とITは一体のものとなっており、しかも企業システムは拡大化・複雑化の一途をたどっている。そのため、セキュリティ上、“完璧”なものを考えるのは非現実的とも言える状況です。

 家に例えてみましょうか。レンガ造りで、ドアも窓もない建物を築けば、かなり安全なものとなります。でも、これじゃ豊かな生活は営めない。ドアも必要だし、窓だって一定の数がないと快適じゃないですよね。その上で、安全を担保するために「鍵をかける」という知恵が生まれたわけですが、施錠すべき箇所が増えるに従って、うっかり忘れるということが起きてしまう。企業システムでは、今、これと同じことが起きているように思うのです。

バックナンバー
キーパーソンが語るシステムマネジメント高度化の意義一覧へ
関連記事

【第3回】元ハッカーが指南するセキュリティ対策の基本とは?セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。

PAGE TOP