情報セキュリティの基本、できていますか?
LINEの乗っ取り被害、ベネッセの顧客情報流出、フィッシング詐欺、Webサイトへの不正アクセス——2014年も企業の情報セキュリティを脅かす事件は数多く発生し、世間を賑わせている。
情報漏えいや標的型攻撃への対策が叫ばれるなか、ソフトバンク・テクノロジーのシニアセキュリティエバンジェリスト、辻伸弘氏が「SoftBank Technology Forum 2014」で、企業の情報漏えい対策について講演を行った。
ソフトバンク・テクノロジー シニアセキュリティエバンジェリストの辻伸弘氏セキュリティの世界というのは、基本的に攻撃者側が圧倒的に有利という特徴がある。守る側はさまざまなリスクに対処しなければならないのに対し、攻撃者側は脆弱なポイントを1点でも破ればよい。そして、その突破方法は多彩で今後も増えていくことが予想される。はっきり言えば、リスクをゼロにするのは不可能に等しい。
その上で、情報を守るのに大切なのは、情報の管理者が攻撃者側の視点を持つことだと辻氏は言う。「セキュリティは“守る”というイメージが強く、そのイメージで対策を考える人も多いが、攻撃者の立場で考えることが重要。すべて守ろうとすれば人もコストも足りるわけがない。できるだけ守るべき範囲を小さくすることが大事だ」(辻氏)
例えば、企業が重要だと思っている情報が必ずしも狙われるわけではない、と辻氏は話す。社員の給与情報などは企業にとって大事なものでも、攻撃者側からするとアクセスしてもあまりメリットがない。攻撃者にとって優先すべきものは、個人情報などの悪用してお金になる情報だ。どのデータを守るべきかという点を見直すことから情報セキュリティ対策は始まるという。
「まずは守りたい情報は何か。顧客情報なのか社員の個人情報なのか、特許の情報なのか。そしてそれはネットワーク上のどこにあり、どうアクセスできるのか。これを把握することがセキュリティ対策の第一歩。企業のセキュリティ対策について、世の中には危機感をあおるような情報もたくさんあるが、必要以上におびえることはない」(辻氏)
続いて、辻氏はベネッセの情報漏えい事件を例に挙げ、セキュリティリスクへの対応のポイントを説明した。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.