 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
「インシデント対応には経営トップの関与が不可欠」、JPCERT/CC |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
業務統括補佐の伊藤友里恵氏によれば、現在のインターネットにおいては攻撃側の組織化が進んでいるという。以前のような愉快犯やいわゆる“Script Kiddy”ではなく、お金や政治問題、国際問題などを動機としているため、傾向がかなり変化してきているというのである。昔から、セキュリティの脆弱なPCが乗っ取られて踏み台にされることは多く見受けられたが、最近ではこうした“ゾンビPC”が何千何万の規模でネットワーク化されたBotnetとして、操縦者に一括でコントロールされ、迷惑メールをまき散らしたり、DDoS(分散型サービス拒否攻撃)に利用されてしまっている。 またたとえば特定の個人を対象とし、ソーシャルエンジニアリングを利用してメールの添付ファイルをクリックさせるなど、技術以外の要素を組み合わせた攻撃も出現しているほか、目的が“止める”から“盗む”へ変化する傾向にあるという。その、“盗む”傾向の最たるものといえるフィッシングも手口が巧妙化し、いちげんでは見破るのが困難なフィッシングサイトも現れてきている。 そして、このような攻撃が出現し被害が報道されることによって、経済へのインパクトが顕在化してきてしまったという。伊藤氏が引用した米Gartnerの調査によれば、主にフィッシングによる個人や金融機関の被害額は、年間で実に9億2900万ドルに達した。伊藤氏はさらに「国内ではまだオンラインバンキングやeコマース利用者が少ないために被害も少ないが、利用が増えればすぐに被害は増えるだろう」と警告する。またインターネットユーザーを対象とした同グループの調査によれば、42%近くのユーザーがオンラインショッピングにかける時間が減っているほか、オンラインバンキングに関しても28%のユーザーが、サービス利用時間が減っていると回答したとのことで、今や電子商取引に対する信頼が揺らいできてしまっているという。 では、企業はどうやって被害をさけるべきなのか。それは「一般ユーザーを含めた多重防衛」だという。伊藤氏は、1)技術面だけでは被害を100%防ぐことは不可能なため、セキュリティオペレーションのポリシーを見直すこと、2)IT部門だけで防げるものではないので、ユーザー全員にトレーニング・啓発を行うこと、3)複数の認証を組み合わせた多段認証を導入すること、などを主な手段として挙げ、全員で油断なく対応することが必須だとした。 さらに企業においては、経営のトップが関与しないと対応しきれない状態になっているという。セキュリティ対応をトップがすべて行うことは現実的に不可能であるから、インシデント対応チームを社内に設けておき、判断を委譲する「意志決定プロセス」を事前に定めておく必要があるだろう、と説明した。
またJPCERT/CCでは例えば、国際ネットワークを通して集約したさまざまな情報を分析し、早期警戒情報を発信するサービスや、経営トップへの働きかけ、サイバーセキュリティの演習などを提供してインシデント対応を支援しているほか、各脆弱性がどの程度のインパクトなのかを評価するためのツールを、現在作成中だという。一見、こうした脆弱性の優先度付けに関してはJPCERT/CCなどが発表すればいいだけのように思えるのだが、伊藤氏は「脆弱性の脅威度はユーザーによって異なるため、一概には決められない」と述べ、測定のためのツールを用意する方が望ましいと強調していた。 ■ URL 有限責任中間法人JPCERTコーディネーションセンター http://www.jpcert.or.jp/
( 石井 一志 )
|
