サイバーセキュリティ月間

2018年3月13日(火) 

「100%という数字」

 サイバーリーズン・ジャパン株式会社
 公共・重要インフラ営業部 部長  中嶋 美貴

 
 世の中には100%という言葉は存在しますが、「事象」として存在することは多くないのではないでしょうか。
 残念ながらサイバー攻撃等による侵入は100%防げない状況である反面、攻撃者の立場ではシステムへの侵入は「100%成功※1」します。
 ※1 時間とモチベーションと脆弱性があれば。
 
 守っているけど侵入されるという前提で議論をするのはテンションが上がりませんが、敵は高いモチベーションをもって取り組んでいます。
 セキュリティは生ものです。ヒトが生み出している攻撃なのですから当然ですよね。セキュリティ対策に終わりはないと言いますが、組織活動も解体しない限り終わりはありません。
 対峙する側も経営リスク管理のモチベーションで今までよりも短期ローテーションで定期的な対策見直しを検討してはいかがでしょうか。
 
 ここでは以下の3つを提言させていただきたいと思います。
 
 1. 平和ボケからの脱却
 トランプ米大統領の就任後、今までの大きく露呈していなかった世界の不安要素が表面化しました。
 新たな脅威となる国、そのテーマ、事象などがふえ、絶えず新聞をはじめとするメディアで報道されています。
 そして、1-2年前に比べて、ようやく日本が平和ボケから目覚め始めたのでは?
 と思う反面、その脅威や不安をただ認識するだけのレベルにとどまっていないでしょうか。行動レベルになっているのでしょうか。
 
 今まで目に見えていた窃盗行為、金銭搾取、攻撃手法ではなく、きちんと対峙しないと見えない方法でやってきます。
 安全神話の国で生まれ育った私たちも、日本人の美徳、礼節を持ちつつ、「もしも」を疑わなければなりません。
 いまやPCとインターネットをナシに業務はできず、つまりインターネットに接続できるということは誰もが国境のない空間に面しているということを再認識しなければならない時なのかもしれません。
 
 2. テクノロジーや攻撃の進化とその対策や調達のギャップ
 ここまで僅かながら述べてきたようにシステムへの侵入は100%防御できない、攻撃側は侵入が「100%成功※1」します。
 攻撃は生もので手法も進化し、国家レベルのハイレベルな攻撃ツールも搾取され、それがまた進化していく。
 対峙する側としては戦略をもった対策と様々な技術と製品、人材をバランスをもって検討することが望まれます。
 買取型で減価償却をするもの、サービスとして提供されるクラウド(SaaS)や専門家によるトレーニング。
 調達方法において従来の数年一括調達のみならず、スピード感ある柔軟な調達、予算取りを実現していただきたいと考えています。
 
3. 高度な専門知識が必要な分野の人材育成
 昨年一昨年に相次いだ国家・軍事レベルの攻撃ツールの搾取をもとにその悪用が今年はより加速し進化し、蔓延するかもしれません。
 かつて一瞬で広まったアウトソーシングの対象は単純作業と専門領域。
 現在、前者はマシンラーニング、AIというものの対象となっています。後者が専門職種とコンサルティング領域です。
 あるお客様がおっしゃっていたことですが、コンサルタント(アナリスト)と契約することで一番実感できた価値は各チームメンバーの右肩上がりのスキルアップ。
 是非われわれのような外部の専門家を活用していただくことによって、足し算と掛け算で自社の対策強化ひいては日本のセキュリティ人材不足の解消につなげていければと思う次第です。
 
 数年前、偶然セキュリティ業界に身をおかせていただくことになった私ですが、日々の活動を通して思うことをお伝えさせていただきました。
 平和ボケから脱却しつつある日本が、サイバーのスピードに則した行動をもって、確実に進化し成果を残していくことを願わずにはいられません。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。







 

 

 

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら


 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。