次々報じられる、大企業の情報漏洩事件。顧客の立場からすれば絶対にあってほしくない事態だが、企業は情報を守るための対策と同時に、情報が漏れてしまった場合の対策を、真剣に検討するべき時期に来ていると言える。漏洩後の対応によっては、それまで築き上げてきた顧客からの信頼が、瓦解しかねないからだ。
2014年12月11日開催予定のマイナビニュースITサミット「大企業のための情報漏洩対策セミナー」では、サブタイトルに「情報漏洩が起こる事を想定した対策を講じる」と銘打ってあるとおり、自社が事件の当事者になってしまう前にやっておくべきこと、また不幸にも当事者になってしまった際の対処策などをテーマにしたセッションが展開される。この度、セミナーのステージに立つヤフー株式会社 社長室リスクマネジメント室の高 元伸氏に、講演内容の一部を披露してもらう機会を得たので、その概要を紹介しよう。
「大企業のための情報漏洩対策セミナー~情報漏洩が起こる事を想定した対策を講じる~」の参加申し込みはこちら(参加費無料、12月11日(木)開催、東京都千代田区、開場12:30~) |
ますます速まるサイバー攻撃手法の進化
2013年に、ヤフーは3度にわたって大規模なサイバー攻撃を受けた。
「昨年受けた攻撃のひとつは、“踏み台”を使って侵入され、システム管理者の権限を奪われ、顧客データベース関連システムに入り込まれるというものでした。当社ではこの時点で不正を検知できたため、アクセスの遮断に成功しました」(高氏)
もし検知できないままになっていれば、大量の情報が流出し、痕跡が削除されて追跡も困難になった上に、顧客の二次被害につながっていただろう。また、二次被害を受けた顧客からクレームが舞い込んだ際に、初めて自社が攻撃に遭ったことに気づいても、事の詳細が分からないまま記者発表を行わなければならず、社会的な信頼まで失っていたかもしれない。
現在、数多くのセキュリティ・システムがリリースされているが、サイバー攻撃による危険から完全に逃れることは、もはや難しいと高氏は語る。企業が大きなコストをかけて導入したシステムも、その減価償却が終わる前に、サイバー攻撃手法の方が巧妙さを増してしまうからだ。攻撃の進化にあわせたシステムの更新は、大企業といえども予算的・時間的に追いつかないだろう。では今、企業が採るべき対策とはいったいなんなのだろうか?
被害の抑制に必要なのは、検知システムと人間の柔軟性
「まずはネットワークに何層もの監視網を敷き、不正アクセスをなるべく早く検知すること、そして検知した際には、即座に対応できる対策チームを準備しておくことが重要です」と高氏は言う。攻撃を仕掛けてくるのが人間ならば、それに対抗するには自動化されたシステムよりも、同じ人間の方が柔軟な対応ができるというわけだ。また攻撃者が手口を進化させるのと同様、人材育成によって防御方法を進化させることができる。そのためシステムを更新するよりも人材育成にコストをかける方が、高い投資対効果を上げられるという。
「煙感知器があれば、すぐに火災を見つけることができ、消化器一つで消し止められるかもしれません。しかし気づかないうちに延焼が拡がると、消防車が何台も必要になってくる。漏洩問題も事態が大きくなる前に気づきすぐに対応できるよう、事前に準備しておく必要があるということです」(高氏)
講演では、対策チームを中心とした社内対応で、被害を最小限に抑えるためのフローだけでなく、不正アクセスを検知しやすくするためのネットワーク設計の工夫、漏洩リスクを低くする「情報の持ち方」など、業種・業界を問わず、参考にできる話題が採り上げられる予定だ。
2004年、ソフトバンクBB株式会社で初代セキュリティ本部長に就任以来、ソフトバンク・グループのセキュリティ関連部門で「長」を歴任してきた高氏が、身をもって体験し、築き上げてきたセキュリティ対策と事故対応策が語られる本講演は、リアリティにあふれ、情報漏洩に危機感を持っている経営層やセキュリティ担当者にとっては、大いに役立つものとなるだろう。この機会にぜひ、本セミナーに足を運んでみてはいかがだろうか。