サイバー攻撃に挑む! 富士通の着眼点 - ガートナー セキュリティサミット

[2016/07/26 15:15]山田井ユウキ ブックマーク ブックマーク

IoT普及の裏で増加する脆弱性

もし、企業がサイバー攻撃を受けるとどうなるのか。太田氏は電子メールを使った標的型攻撃を例に挙げ、次のように説明する。

まず攻撃者から送信された標的型メールにより、従業員のPCがウイルスに感染する。ウイルスは乗っ取ったPCを経由して他のPCやサーバに侵入し、攻撃者の指示で機密情報を外部に送信するという流れだ。

こうした攻撃による被害を受けると、経営にも大きなリスクが生じる。例えば、情報漏えいなら個人情報だけでなく、知的財産や営業機密情報も漏れる可能性があるし、業務を停止せざるを得なくなれば機会損失にもつながる。また、自社だけの問題ではなくサプライチェーン全体に影響を及ぼすことにもなるだろう。

「今、IoT化が進んでいることで、多くの脆弱性が生まれています」と太田氏は警告する。自動車のワイパーや音楽再生の操作がWi-Fi経由で乗っ取られる事例が、Youtubeで公開されたこともあるという。全てのモノがつながるIoTが普及しつつある今、乗っ取られるのはもはやPCだけではない。あらゆるモノが対象になっていくのだ。

こうしたサイバー攻撃に対抗するには、システムを構築する際にあらかじめ攻撃されることを織り込んだ設計ができるかどうかが大きなポイントであり、そのための「人材」と「技術」が必要だという。

富士通が考えるサイバー攻撃対策

太田氏によれば、富士通では現在、サイバー攻撃への対策に「任務保証と事業継続」という考え方で取り組んでいるという。

これは、攻撃を受けて事業が中断してしまった場合、いかに正常な状態に戻すまでの時間を短縮するか、というものだ。

そのために求められるのは、動的な防御プロセス連携である。すなわち、継続的なモニタリングによってサイバー攻撃を「Observe(監視)」し、攻撃の目的や意図を認識して「Orient(情勢判断)」する。その後、攻撃に対する措置を「Decide(意思決定)」し、問題解決やリスク要因の排除へと「Act(行動)」するのである。

「復旧時間を短縮するには、このOODAモデルがリアルタイムで常に回っていなければいけません」と太田氏は語り、特に重要なのは「Decide(意思決定)」だと強調した。

「攻撃者の行動」に着眼、モデル化に成功

もっとも、まだまだ解決できていないサイバーセキュリティの課題は山積みだ。ウイルスは1日に100万種以上が発生しており、感染を検知するのも難しい。一旦侵入されると復旧まで時間がかかり、組織にとって致命傷になる可能性すらある。さらに人材育成の遅れにより、セキュリティ運用が未成熟という問題もある。

こうした状況に対して、太田氏は「新しい着眼点が必要」だと提起する。氏が着目するのは「攻撃者の行動」だ。

これまでのセキュリティは「手段」に着眼して対応してきたが、手段は無数に存在し、マルウェアも増え続けていく。しかし、攻撃者の行動には一定のパターンがあり、サイバー攻撃はそのパターンの組み合わせでしかないというのだ。

富士通では、この攻撃者の行動のモデル化に成功したとしており、「この技術によりインシデントレスポンスの考え方は一気に変わるでしょう」と太田氏は自信を見せる。

また、セキュリティ人材の育成についても、社内セキュリティコンテストやセキュリティマイスター認定制度などによる発掘・育成を行っているという。

最後に太田氏は、「事故、事件の発生を前提とした上で新たな技術の活用や外部リソースの積極的活用を進め、危機管理能力の向上を経営課題としてとらえていくべきです」と強調し、講演を締めくくった。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

サイバー攻撃は「城」で迎え撃て! - ガートナー セキュリティサミット

サイバー攻撃は「城」で迎え撃て! - ガートナー セキュリティサミット

ガートナー ジャパンは7月11日~13日、年次イベント「セキュリティ&リスク・マネジメント サミット 2016」を開催した。「ビジネス変化のスピードに合わせて信頼とレジリエンスを築く」をテーマに掲げた同イベントでは、ガートナーのアナリストをはじめ有識者が20名以上登壇し、セキュリティの最新動向や事例紹介など、さまざまなセッションを繰り広げた。本稿では、2日目…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る