有料会員登録 東洋経済オンラインとは
キャリア・教育

大企業よりも中小企業のほうが狙われやすい…これまでとは「レベチ」なAIを駆使したサイバー攻撃の"本当の標的"

8分で読める
サイバー攻撃が「サブスク」として売られている時代になったという(写真:tadamichi/PIXTA)
2/4 PAGES
3/4 PAGES

「結局、何から手をつければいいんですか?」

この質問に対する答えを本稿で語り尽くすことはできない。ただし、1つだけ言っておく。答えは「最新のセキュリティ製品を買うこと」ではない。

守る側にも「ホワイトハッカー」と呼ばれるプロがいる

ここまで読んで、暗い気持ちになっただろうか。攻撃者ばかりが進化し、防御側は追いつけない、そう感じたかもしれない。しかし、守る側にもプロがいる。

ペネトレーションテスト、侵入テスト、という仕事がある。企業から正式に依頼を受け、攻撃者と同じ手法で「本気で」侵入を試み、見つかった脆弱性と侵入経路を報告し、対策を提案する。

この仕事を担うのが「ホワイトハッカー」と呼ばれる専門家だ。ハッカーと聞くと犯罪者を連想するかもしれないが、もともとハッカーとは「技術を深く理解し、創意工夫で問題を解決する人」を指す言葉だ。同じ技術が、使い手の倫理によって剣にも盾にもなる。

私が執行役員を務めるGMOサイバーセキュリティbyイエラエは、まさにこのホワイトハッカー集団であり、毎日、日本中の企業のシステムに「合法的に」侵入し、穴を見つけ、塞ぐ方法を提案している。

中国古代の兵法書『孫子』には、「彼を知り己を知れば百戦殆うからず」という一節がある。2500年前の言葉だが、サイバーセキュリティの世界でこれほど正確に当てはまる格言はない。

攻撃と防御がある世界では、攻撃者を理解しない者に防御はできない。サッカーの守備は相手フォワードの動きを読むことから始まる。将棋の受けは相手の攻め筋を知ることで初めて成立する。ホワイトハッカーとは、その「彼を知る」を職業にしている人間だ。

「攻撃者の眼」を制度として組み込む仕組みもある。バグバウンティ(脆弱性報奨金制度)は、世界中のセキュリティ研究者やハッカーに「うちのシステムの穴を見つけてくれたら報酬を払う」と公開で呼びかける仕組みだ。

Apple、Google、Microsoftはもちろん、米国防総省も「Hack the Pentagon」プログラムを運営している。日本でもデジタル庁がバグバウンティを導入した。本質は、攻撃者が見つける前に、味方が見つけるレースだ。一社のセキュリティチームでは見つけられない穴を、集合知で発見する。

もう1つ、不可欠な「人」の制度がある。セキュリティクリアランス(適性評価を経て国家安全保障上の重要情報へのアクセスを認定する制度)だ。欧米諸国では数十年にわたり運用されてきた、安全保障の基本インフラである。

4/4 PAGES

こちらの記事もおすすめ

あなたにおすすめ

キャリア・教育

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数