Skip to content

セキュリティマガジン TREND PARK

「第14回 情報セキュリティCIOフォーラム in Trend Micro DIRECTION」セッションレポート


標的型サイバー攻撃の被害者にならないために
CIO、IT部門に求められるセキュリティのかじ取りとは

米国第44代大統領政権 元サイバーセキュリティアドバイザー×トレンドマイクロ CEO エバ・チェン


標的型サイバー攻撃時代のセキュリティ指針とは
多層防御で攻撃のリスクを低減

  重要な情報資産や制御システムをはじめとするミッションクリティカルなシステムを守るために企業や組織は何をすべきですか。

トレンドマイクロ CEO エバ・チェン

エバ標的型サイバー攻撃が単発で仕掛けられることはほとんどありません。この攻撃では、明確な目的を持った犯罪者がターゲットへの侵入に成功するまで、標的となった組織にあわせてカスタマイズした複雑かつ執拗な攻撃を繰り返し、長期にわたって目的となる情報を収集します。

このような脅威に対抗するためには、多階層の防御策を講じる必要があります。外部からの脅威の侵入を防ぐ対策と、外部への情報流出を食い止める対策だけでは不十分です。ネットワークを流れる通信を監視し、攻撃用の通信を遮断するモニタリングの仕組みをそれらと連動させ、重要な情報資産を守らなくてはなりません。

ボーグ氏高度なスキルを持つ犯罪者に狙われると、脅威の侵入を完璧に阻止する手だてはありません。ただ、目的達成までにかかる犯罪者のコストをより莫大なものにすることはできます。エバが述べた多階層の防御策は、これを実現する最適な方法のひとつです。多階層の防御策を講じれば、攻撃の標的になるリスクが大幅に低減されるのです。

犯罪者は、標的に侵入して目的を達成するために費やさなくてはならないコストと、攻撃によって得られる成果を天秤にかけ、攻撃のコストが圧倒的に大きければ攻撃を中断する可能性があります。つまり、適切なセキュリティの実装で防御力を高めれば、攻撃によって犯罪者が得られるメリットを削ぎ、攻撃の標的になるリスクを大幅に減らすことができるのです。

こうした犯罪者の攻撃コスト増を狙ったセキュリティ対策を講じた企業の多くは、同時に対策の効率化に成功しています。企業が本当に注目すべきことは、資産の価値ではなく、資産が生み出す価値や窃取や破壊により被る損失です。たとえば計器のような安価で、一見重要情報とは無関係に見える機器が攻撃の標的となり、甚大な被害が度々引き起こされています。すべての攻撃に対処しようとするのではなく、守るべき対象を見極め、予測される攻撃やそれによる損失を考慮したセキュリティ施策を実行するのがカギです。

  情報資産の優先度とコストのバランスを考慮した適切なセキュリティ施策へ結びつけるポイントを教えてください。

スコット・ボーグ氏

ボーグ氏包括的なリスク分析によって、守るべき情報を把握してから、セキュリティ要件を定義することが大切です。具体的には、「どのような攻撃がどの程度の頻度で起こるのか」「引き起こされる被害はどのようなものか」「それらの被害を組織としてどの程度対策すべきか」を予測すれば、損失額を含め、攻撃を受けたときの影響度を定量化することも可能です。そうすれば、セキュリティ予算にも確かな根拠がもたらされ、リスクと優先度、コストのバランスが考慮された適切なセキュリティ対策に結びつけられるはずです。

攻撃してもコストに見合う成果を得られないと犯罪者に思わせることができれば、犯罪者はターゲットを変更するでしょう。こうした適切なセキュリティ対策の方針、そして投資がROIを高めるカギになります。

エバCIO、IT部門の皆さんは今、標的型サイバー攻撃の脅威を防御しながら、新しいITテクノロジでビジネスをけん引するという大変難しい課題に直面されています。こうした実態を踏まえ、われわれセキュリティベンダも革新し続ける必要があります。

私たちが重要視するのは、お客さまにより多くの経済的メリットを享受頂くエコシステムに重点を置いた製品設計・オペレーションを実践することです。セキュリティを単独の技術としてとらえるのではなく、様々なテクノロジとセキュリティをうまく融合し、お客さまごとに最適化されたIT環境の構築を支援いたします。

サイバー攻撃をはじめとする脅威情報やセキュリティ動向など、企業ITに欠かせない最新情報をコンパクトにまとめてメールでお届けします。詳しくはこちらをご覧ください

メール配信サービス

標的型攻撃 記事一覧へ戻る

記事公開日 : 2013.12.06

ページの先頭へ