1/5 PAGES
2/5 PAGES
平原の牧場で例えてみよう。ある牧場では、かつて羊を狙う狼は、ありあわせの柵と一丁の鉄砲でしのげた。ところが最近、隣村では狼が群れで来るという。慌てた牧場主の多くは、もっと鉄砲を買わねば、と言い出す。
AI攻撃の高度化は、この「狼が群れになったらしい」状態だ。脅威の量も速さも、確かに上がるに違いない。だが先に見るべきは、羊と柵の状態ではないか。壊れかけた囲いを直し、小屋を強化するという対応が後回しになっている。
自分の羊が何頭、どこにいて、どれがいちばん失えないか――まずそれを解像度高く言えるか。セキュリティ問題も同様で、たいていの組織で最初に見過ごされているのは、「何を守るか」だ。
では、自社システムの深刻な弱点を探すのに、どう手をつければよいのか。
「OWASP Top 10」は自社の弱点を映す見取り図
「OWASP Top 10」 は、2001年にアメリカで始まったOWASP(Open Worldwide Application Security Project)という、世界のソフトウェアセキュリティ専門家が集う非営利の国際コミュニティーによるガイドブックである。
「企業システムがどう破られているか」を10のカテゴリーに整理した見取り図だ。特に25年版は、「設定の不備」や「ソフトウェアサプライチェーン」がより深刻な課題として順位を繰り上げ、「アラート」「例外の処理」など運用機能面の弱点がクリアになった。攻撃対策の焦点が変化していることを垣間見ることができるのだ。
この有効性を考えるため、目線を「足元で実際に企業を襲っている被害」へ移してみよう。下図は、最近起きたサイバー被害(アサヒグループHD・損保ジャパン・アスクルなど)を類型化し、その原因が10のカテゴリーのどれに該当するかをまとめたものだ。
3/5 PAGES
4/5 PAGES
5/5 PAGES
