検索
連載

CSIRTが果たすべき「社会的責任」とは@ITセキュリティセミナー東京・大阪・福岡ロードショー 2017 レポート(3)(4/4 ページ)

@IT編集部が2017年2月に開催した「@ITセキュリティセミナー」レポートシリーズ。最終回は、これまでに紹介できなかったセッションの模様をまとめてお届けする。

Share
Tweet
LINE
Hatena
前のページへ |       

被害企業・個人の情報公開が社会の助けになる――辻伸弘氏、piyokango氏、根岸征史氏特別講演

 セミナーを締めくくる特別講演では、ソフトバンク・テクノロジー 脅威情報調査室 シニアセキュリティリサーチャーを務める辻伸弘氏、IIJ(インターネットイニシアティブ) セキュリティ情報統括室で同社のCSIRTチームに所属する根岸征史氏、セキュリティブログ「piyolog」を運営するpiyokango氏の3人のセキュリティリサーチャーが登壇。彼らの“生態”とセキュリティリサーチの面白さや難しさを赤裸々に語り合った。

(左から)ソフトバンク・テクノロジー 脅威情報調査室 シニアセキュリティリサーチャー 辻伸弘氏、IIJ(インターネットイニシアティブ) セキュリティ情報統括室 根岸征史氏(piyokango氏は事情によりカット)
(左から)ソフトバンク・テクノロジー 脅威情報調査室 シニアセキュリティリサーチャー 辻伸弘氏、IIJ(インターネットイニシアティブ) セキュリティ情報統括室 根岸征史氏(piyokango氏は事情によりカット)

 冒頭で辻氏は、「この講演のメインテーマは、『受け手が役に立つ情報公開・共有の在り方』『受け手が踊らされない情報の見極め方』の2つです」と述べ、セキュリティ情報を発信する側にも受け取る側にも、相応の力が必要であることを示唆した。

 「セキュリティリサーチャー」は幅広い意味を持つ用語だが、パネリストの3人は、多くの場合は公開情報を基にセキュリティ事件・事故を調査し、今後のセキュリティ対策に役立つ情報を集め、分析し、まとめるといった仕事を行っている点が共通している。

 辻氏は、「平時の情報収集や考察といった活動が、実際の有事に役に立つことが多い」と述べる。だが、有用な情報は大抵がインターネット上にあるため、端から見ると、「ネットサーフィンで遊んでいるように見えてしまう」こともあるそうだ。しかし当然そんなことはない。この意見には、「平時の情報収集で対処方法が分かれば、対策がとりやすくなる」と、根岸氏も同意する。

 次に辻氏は、2017年2月に政治家である丸川珠代氏のブログが改ざん被害に遭ったことを取り上げ、「推測の域は出ないが、Wordpressの脆弱性が利用されたのではないかと見ている」と見解を述べた。

 「丸川氏のように著名な方は、その情報も広まりやすいもの。被害について、原因や状況を広く伝えていただきたい」と辻氏が述べると、根岸氏も「(IT担当者が)それを見て、同じ被害を未然に防ぐ方法を検討できる」と発言。piyokango氏も、「推測だけでは事実が見えない。被害を受けた方が正確な情報を発表してくれた方が確実」とし、3人ともに被害に遭った組織・個人による情報公開が重要であると訴えた。

 「発信される情報を見て対策を講じていない人が多いから被害が減らないのではないかと感じる。ただ、情報を受け取る際には受信者が対策の方法や要/不要を判断しなければならないため、情報の発信者がその危険度をきちんと伝えることも重要だと考えている」(根岸氏)

 受信者による情報の見極め方というテーマでは、情報発信の在り方についての問題が指摘された。例えば、ロンドンオリンピックの例では、攻撃件数が“2億件に上った”ことが話題となったが、これだけでは「攻撃が多い」というイメージばかりが先行しがちだという。

 「2億件というと多いように見えるが、何と比べているのか。数字よりも大事なことがあるはず。例えば、ロンドンオリンピックでは、CIOまでエスカレーションされたものは6件のみだった。数字よりもむしろ、『どんな攻撃があったのか』『どんな対処を行ったのか』という情報の方が重要だ」(辻氏)

 これに対してpiyokango氏は、「恐らく一次情報にはちゃんと情報が含まれていたはず。ところが、二次情報・三次情報になると、(内容が要約されて)数字だけになってしまう。メディアなどには、ぜひ参照情報を入れてほしいと願う」と述べた。

 だが、こうした情報を見極めるには、継続して情報を見続けているリサーチャーならでは能力が求められるのではないだろうか? piyokango氏は、「現在は情報受信者のハードルが高い状況にある」と言う。

 「経験も必要だが、まずは自分のテリトリーにあるもの、自社で使っているものを意識することが大切だ。その上で、セキュリティ情報が自分にとって影響があるのかどうかを見極めること。何でもかんでもやろうとしてはいけない。情報セキュリティよりも先に重要なのは、情報管理だ」(piyokango氏)

 「人間、1人でできることは限られる。時にはSNSを活用したり、互いに協力したりして、楽をしましょう」(辻氏)

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る