TOPセキュリティ > セキュリティ対策としてホワイトハッカー採用に動くCISO(下...

セキュリティ

セキュリティ対策としてホワイトハッカー採用に動くCISO(下)

2014/06/27

Sharon Florentine CIO

 業務データを保護したり、システムの脆弱性を見つけて対処したりと、多くの企業は苦労が絶えない。そうした中、CISO(最高情報セキュリティ責任者)の間では、ハッカーを防ぐには自らハッカーを雇うことが最善の策だという認識が広がり始めている。

前回から続く)

 ホワイトハッカーを採用した企業の多くは、十分な保護が確立されたという安心感を得るはずだ。パッチ、ウイルス対策、スパム対策、ソフトウエア更新などを最新の状態にし、エシカルハッカーを雇うことで、あらわな脆弱性にも対処しているからだ。一方で、より複雑で分かりにくい脆弱性を見逃してきたことが判明するケースも多い。

 「エシカルハッカーにとって最も重要な仕事の1つは、ハッカーがいかに巧妙な手段でシステムへの侵入を果たすかについて、企業を教育することだ。いわば自らのROIを証明し、企業が10万ドル以上の給料を払うだけの価値が現にあるのだと示す必要がある」とConrad氏は言う。

ハッカーの自主自律性

 当然生じるであろう疑問が1つある。自社が雇ったエシカルハッカーが本当にエシカル(倫理的)だという確証は、どのように得られるのだろうか。あいにく、100%の確証が得られることは決してあり得ないとConrad氏は言う。ホワイトハッカーやエシカルハッカーという職業全体が、本人の道徳心や倫理観を基盤として成り立っているからだ。

 「認定エシカルハッカーになる時に、法的書類への署名が確かに義務づけられている。自らの技能を悪ではなく善のために使うことに同意するとの署名だ。だがそれは決して保証にはならないし、絶対的に確証する手段は残念ながら何もない。これは本質的に内在するリスクの1つであり、こうした脅威に対処するためには企業はこのリスクを取らざるを得ない」とConrad氏は言う。

↑ページ先頭へ