「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 レポート

Share

2017年2月20日、GSX との共同セミナーを実施しました。

「情報セキュリティ10大脅威2017」 から読み取る
最新セキュリティ傾向とその対策

前回 は、JPCERT/CC の四半期レポートに沿った形でしたが、今回は IPA発表の情報セキュリティ10大脅威です。

2017年、いきなりランキングに登場した IoT 関係について「なぜ、登場したのかな? 何があったのだろう?」という視点で解説をしました。特に、Mirai ですね。多くのセキュリティ系の記事、セミナーでも取り上げられています。
45分セッションの枠内で「盛りだくさん」にしてしまったので、ひとつひとつは薄い解説となってしまいました。別の機会に、セミナーやブログで詳しく述べたいと思います。

情報セキュリティ戦略

本セッションの、もうひとつのテーマです。

「戦略」というのは、あちこちで聞く言葉です。経営戦略とか情報戦略、そしてこの情報セキュリティ戦略もそうですね。辞書で調べた意味はスライド中に述べている通りです。個人的には

目的、目標、そこに至る道筋について設計し、準備すること。

この様に考えています。よって、情報セキュリティ戦略を構築するのであれば、まず目的や目標が無いといけません。我々の様なITインフラ事業者の場合、この設定が難しい部分ではあります。

セキュリティを強化したからといって、ユーザーが増えるとは限らない。しかし、対策をしなければ淘汰が待っている。

この様に、ネットワークやサーバのセキュリティ強化、セキュアな構築・運用サービスというのは「戦略」というよりも「課題」です。そこで、情報セキュリティ戦略を構築する手始めとして、エンドユーザーの幸せから考えることにしました。「“幸せ”とは“不幸せ”の逆」と考えた場合、エンドユーザーにとって良くない状況というのは・・・

  • 標的型攻撃メールの添付ファイルを開いてしまい、大規模なインシデントになってしまった。
  • 情報漏えいによって、カード情報などが不正利用されてしまった。
  • Webサイトを閲覧したところ Drive by Downloads により、マルウェアに感染してしまった。
  • 日々利用するサービスが DDoS 攻撃を受けている様で、全く利用できない。

たくさん考えられます。しかし、ITインフラだけで出来る対策は限られています。エンドユーザーに対して、実際にサービスを提供している人々との協力が不可欠でしょう。このサービス提供者とは、我々から見るとお客様です。
エンドユーザーの幸せのために、ITインフラ事業者と、サービス提供者であるお客様が協力をする必要があります。

では具体的に、何から始めましょう?

これです!
具体的な方針について考えられる様になり、情報セキュリティ戦略を構築するためのスタートラインに立つことが出来ました。

この様に、ぜひ貴組織にあった情報セキュリティ戦略を構築してみてください。様々な資料が公開されています。難しいと思われた際は、お気軽にご相談ください。よろしくお願いいたします。

NHN テコラス株式会社 データホテル事業本部マネージドサービス事業部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた。現在は DATAHOTEL::SI2 のエンジニア。
Share
▲ ページ先頭へ