- 2018/09/11
- セキュリティ
情報セキュリティの改善には企業と政府間での情報共有が必要
Post by : Lior Div
政府と企業はどのような関係を持ち、どのように協力すべきか、そして両者による協力の実現を阻んでいる原因は何か?
情報セキュリティは、人々の日常生活にすっかり組み込まれています。Target、Yahoo、Anthemに衝撃を与えた大規模なデータ漏洩から、インターネットのかなりの部分をダウンさせたIoT機器を悪用したDDoS攻撃に至るまで、情報セキュリティはあらゆる人々に影響します。
実際には、このような種類の環境において保護を提供することは非常に難しいため、企業であれ政府機関であれ、単一の組織がこのような課題を単独で達成することはありえません。これらに取り組むためには、公共部門と民間部門の間での何らかの協力が必要となります。このような議論は、政府と企業はどのような関係を持ち、両者はどのように協力すべきかという問い、そして両者による協力の実現を阻んでいる理由は何かという問いへとつながります。
政府機関や企業が情報の出し惜しみをできないようにする
最初の一歩は、3文字の頭字語で表される政府機関は、情報セキュリティに関する限り、機密事項を隠し持つ壁で囲まれたものではないということを認識し受け入れることです。もちろん、諜報の分野においては共有が許されない機密性の高いデータが存在しており、そのような機密情報が民間部門に提供されることを期待しているのではありません。共有されるべきだと主張しているのは、攻撃者の戦術、手法、手順に関する情報であり、企業が自らを安全に保つために利用できるデータのことです。
たとえば、攻撃者が戦術として使用するPowerShell手法や、攻撃者が開発したその他のクリエイティブなハッキング手法について知ることは、企業にとって極めて有益な情報となります。このような知識で武装することにより、セキュリティおよびITチームは、各自の環境でこの種の行動を見つけ、攻撃を検知し、被害を軽減できます。
その一方で、企業は、これと同じ種類の情報を政府と共有する必要があります。属性の詳細は省略する必要があります。攻撃者が自分の足跡を隠すために利用する手法を考慮に入れるならば、攻撃を遂行したグループ、国家、または組織が何であるかを明らかにすることはほぼ不可能であり、またはそのような情報は防御者を混乱させるだけでしょう。たとえば、今日、ハッキングは購入可能なサービスの1つとなっています。これは、サイバー犯罪を実行する能力を得るために喜んで金を支払おうとする人間が存在しているためです。また、攻撃の背後に誰が存在するかを知ることは、将来の攻撃からビジネスを守るためには役立ちません。
National Council of ISACsでは、同じバーティカルマーケットにおける企業間での脅威情報の共有を実現しています。これは企業を保護するために役立つ素晴らしい仕組みですが、この仕組みには多くの改良すべき余地があります。たとえば、米国内および国際間の両方で、複数のバーティカルマーケット間で情報を共有する手段が存在する必要があります。企業が直面している脅威に関する情報が、国境や業種により制限されることがあってはなりません。パッチを適用されていないソフトウェアの欠陥を標的とするゼロデイ攻撃は、当該アプリケーションがドイツの製鉄業者のコンピュータ上で動作しているか、それとも日本の製薬会社のコンピュータ上で動作しているかに関係なく有効となります。
情報セキュリティを犯罪やテロと同様に扱うこと
犯罪活動やテロに関する情報を共有することは、国内および国際間の両方において、あらゆるレベルの政府間で一般的となっています。大きな犯罪やテロとの戦いは非常に広範囲に及ぶため、単一の組織が対処できるものではないと一般に考えられています。情報セキュリティもまた、広範囲に影響が及ぶ問題であり、そのリスクは単一の法執行機関や政府によって完全に取り除かれないにもかかわらず、情報セキュリティが犯罪やテロと同様に扱われていないことに私は興味をそそられます。
ソフトウェアは、世界中で重大な犯罪を行うための武器として使用されていますが、市民や企業をより良く保護するために民間部門と公共部門が協力するという動きは存在していません。では、情報セキュリティ分野における民間部門と公共部門の協力を妨げている原因は一体何でしょうか?
情報セキュリティ関連のコミュニティは、情報の共有に消極的です。これは、コンピュータ、サーバー、ユーザーをいかに保護するかはIT部門の問題だと認識されているためです。一方、IT部門の立場では、セキュリティとは1台ずつマシンを保護し、できるだけ迅速に問題を解決することを意味しています。このような近視眼的なアプローチでは、攻撃が、IT環境全体に広がる多数のコンポーネントに関わる複雑かつ詳細な計画であるということが考慮されません。
また、そのようなアプローチでは、攻撃が犯罪の問題として取り扱われることもありません。セキュリティが故障したマシンを修理することとして認識されているために、複数の企業間での情報の広まりを阻止している壁を打ち壊すことに関して真剣に考えられることがないのです。言い換えれば、我々は現時点で、単一の企業ではなく、すべての人を安全に保つ方法に関する全体像を持ち合わせていないのです。
人々は、情報セキュリティの取り扱いに関するこれまでの考え方を改め、情報セキュリティを犯罪やテロとの戦いと同様に認識する必要があります。将来的には、このような考え方が政府と民間部門の間での情報共有へとつながり、最終的に防御者に力を与えるようになることが期待されます。
Lior Div(リオ・ディヴ)は、Cybereason Inc.のCEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。
