企業内部からの情報漏洩や、マルウェア問題、標的型メール攻撃−−。対処すべき事柄が広がる一方のサイバーセキュリティにおいて、新たな問題を指摘する企業がある。米RiskIQだ。同社は「企業はファイアウォールの外側にも気を配る必要がある」と話す。ファイアウォールの外側とは一体何のことなのか?
「サイバー犯罪は年々どころか、日々、巧妙になっている。企業は今や、ファイアウォールの内側を守るだけでは不十分で、外側にも気を配らなければならない」(米RiskIQ アジア太平洋担当マネージングディレクタのジェンナ・ラビー氏)──。こう聞いて、読者はどう思うだろうか? ファイアウォールの内側を守るのにさえ苦労している情報セキュリティ責任者やCIOにとっては“新たな難題"と言っていいだろう。
しかし「ファイアウォールの外側にも気を配る」とは、具体的にはどういうことか?金融機関や小売業がスマートフォン用のアプリケーションを配布することを考えよう。これは利便性を高めて利用者や顧客との結びつきを強める有力な手段だ。だが欧米では、悪意を持つ組織や個人が正規のアプリから偽アプリを作り、IDやパスワードを搾取するケースが増加し始めているという。
そこまでいかなくても、以前からのフィッシング詐欺も年々巧妙になっている。Facebook上の偽アカウントやGoogleの偽広告など、SNSへと広がっている。SNS上での重役のなりすまし行為、不正なアカウントの取得といったことだ。
これに対し、「被害者には気の毒だが、偽アプリや偽サイトによる被害は自社とは無関係」といったロジックが考えられるし、これまでは注意喚起すれば済んでいた。事実、サイバー犯罪ではなく、偽のブランド品や製品による被害は、消費者(利用者)の責任であって、正規品のメーカーは通常責任を負わない。しかしRiskIQによると、「サイバー犯罪でも、アプリやWebサイトの偽物による被害は必ずしもそうではない」という。
偽商品の場合、正規品メーカーが取れる対策には自ずと限界があるし、正規の販売店で買うなどの注意をしなかった消費者に責任がある。偽物と知って買う場合も、もちろんあるだろう。これらに対し、偽アプリや偽サイトはネット上に存在するので、企業は相応の対策が取れる。仮に同業他社が対策を講じているのに自社の対策がいい加減だった場合、信用を落とすレピュテーションリスクも生じる。「サイバー空間で何らかのビジネスやサービスを提供する以上、相応の責任が伴う」(同)というわけだ。
犯罪を起こす側が狙うのは、偽のアプリやWebサイトだけではない(図1)。企業が大規模なWebサイトを構築する場合、コンテンツ制作や会員管理などに複数の事業者が関与するケースが多くなる。自社が管轄するIT資産について厳重な対策を打っていたとしても、どこかに穴がある可能性がある。2015年秋に大きな問題になった「傾きマンション」と同じような構図と言えるだろう。
図1:犯罪を起こす側は、偽アプリやWebサイト以外も狙っている拡大画像表示
こうした現状を教えてくれたRiskIQは、この分野の専門ベンチャー企業。「2007年の会社設立と同時に米Amazonや米eBayなどと協業して、企業の外側にあるIT資産の状況を監視するサービスを開発した。サービスの一般向け提供を開始した2011年には、すぐに銀行や保険会社などが関心を示し、今ではFortune500の10%が何らかの形でサービスを利用している」とする。
●Next:狙われる「ファイアウォールの外側のIT資産」
会員登録(無料)が必要です
- 1
- 2
- 次へ >
