TOPIndustries > サイバー犯罪の攻防、重要なのはスキルの差より戦略の差(下)

Industries

サイバー犯罪の攻防、重要なのはスキルの差より戦略の差(下)

2014/10/03

Taylor Armerding CSO

 そこが本当のギャップだと同氏は言う。「戦略の方がスキルギャップよりも重要だ。スキルのある100人が、戦略的に重要でない活動で時間を浪費していることが真の問題なのだ」

 実は、ロシア人のハッカーの方が知能的と述べたトレンドマイクロのKellermann氏も、発言の真意はそこにあった。知能的である理由を次のように述べているからだ。「自分たちが起こす、一つひとつの動きを、きわめて戦略的な域までとことん考え抜いている。チェスで言うと、攻撃面と防御面の両方で、8~12手先まで考えて動いている」

 だが、次世代の人材たちのトレーニングを強化するだけでは足りない。専門家が口をそろえて言うのは、企業のすべての社員の姿勢、手法、トレーニングを強化する必要があるということだ。

 Avanessian氏は次のように言う。「攻撃に対する防御を妨げている大きな障壁の1つは、受け身型の検知を前提とした、硬直化して扱いづらいセキュリティ戦略だ。企業は、アプローチをシンプルにして、事前対策の姿勢を大きく高める必要がある。米SANS Instituteの『First Five』やオーストラリア国防省の『Top 4』で推奨されているような、ごく基本的なセキュリティ手順すら満たしていない企業が多い」

 同氏は、セキュリティを重視していないIT部門と接することが頻繁にあるという。「セキュリティよりも、最先端の技術や多彩なITソリューションを実装することを重視している。このため、ソリューションの展開が済んだ後でセキュリティを追加装備せざるを得ない。セキュリティは決して後付けにしてはならない」

 エンドユーザーへの教育という面も必要だとCohen氏は言う。「人々への教育を高めれば、セキュリティも高まる」と同氏は言う。ただし、教育を高めるためには、模擬的な攻撃が必要だと同氏はあわせて指摘する。社員に理論を教えるだけでなく、実際に体験させるということだ。

 「社員をレベルアップさせ、攻撃のハードルが低い標的をなくすには、それが簡単で費用対効果の高い方法だ」と同氏は話している。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ