[市場動向]

セキュリティ対策の心得 - 賢いセキュリティ対策 Part1

2009年5月14日(木)

増大、巧妙化するセキュリティの脅威 無駄を省いて実益重視の対策を どんな攻撃にも耐え得る体制を作るのは現実的ではない。専門家は、脅威の種類や影響度を理解した上で妥協点を探るとともに、無駄を徹底排除して投資効果を最大化することをポイントに挙げる。

企業情報システムを脅かす攻撃の手口はますます巧妙化している。例えば、ボットネット。ウイルスなどの形でPCやサーバーに遠隔操作用のプログラムを忍ばせておき、コントロール下にある大量のコンピュータを一斉に支配して多面的に攻撃を仕掛ける。具体的には、迷惑メールの一斉送信や特定のサーバーに負荷をかけてダウンさせる(あるいは侵入する)といったことが可能だ。大規模で複雑なネットワークを介しているだけに、大元の指令者が誰かを特定するのは難しい。ほかにも、フィッシングやSQLインジェクション、クロスサイトスクリプション、MITM(Man-In-The-Middle)など、さまざまな手法が世に登場している(図1-1の左)。

図1-1 企業は常にセキュリティ上の脅威にさらされている
図1-1 企業は常にセキュリティ上の脅威にさらされている(図をクリックで拡大)

「愉快犯は激減し、ほとんどが金銭目的の攻撃」(HASHコンサルティングの徳丸浩・代表取締役)というのはセキュリティ専門家に一致した意見だ。機密情報を闇マーケットで売りさばいたり、盗んだクレジットカード情報で不正換金したりするのが最終目的である。

近年は、ネットを介した攻撃側のコミュニティも存在し、「分業体制によるプロ集団化が進んでいる」(フィッシング対策協議会の山田良史・主任研究員)。CaaS(Crimeware as a Service)としてボットネットを貸し出すサービス、データ詐取ツールの開発/提供、データ売買のマーケット運営など、望まざる協力体制が形成されている。

社外からの攻撃もさることながら、社内にも多数の脅威が潜んでいる(図1-1)。三菱UFJが4月、元社員が顧客148万人分の個人情報を不正に持ち出し、うち5万人近い情報を名簿業者に売却していた事実を明らかにしたのは記憶に新しい。情報漏洩など報道で明らかになるセキュリティ上の事件を見ると、従業員や取引先関係者の不正行為や人為的ミスによるものが、社外からの攻撃よりも目立つ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

関連記事

セキュリティ対策の心得 - 賢いセキュリティ対策 Part1増大、巧妙化するセキュリティの脅威 無駄を省いて実益重視の対策を どんな攻撃にも耐え得る体制を作るのは現実的ではない。専門家は、脅威の種類や影響度を理解した上で妥協点を探るとともに、無駄を徹底排除して投資効果を最大化することをポイントに挙げる。

PAGE TOP