★阿修羅♪ > 戦争b5 > 859.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
サイバー戦争の最前線に立たされる企業 米国政府の元セキュリティ・アドバイザーが教えるセキュリティ対策戦略  CIO
http://www.asyura2.com/10/warb5/msg/859.html
投稿者 愚民党 日時 2010 年 10 月 04 日 15:39:41: ogcGl0q1DMbpk
 

(回答先: イラン、「サイバー攻撃受けた」 PC約3万台感染と報道   47NEWS 投稿者 愚民党 日時 2010 年 10 月 04 日 10:18:03)

<政府が積極的に企業を守るべきと述べるホワイトハウスの前サイバーセキュリティ・アドバイザー、リチャード・クラーク氏


サイバー戦争の最前線に立たされる企業

米国政府の元セキュリティ・アドバイザーが教えるセキュリティ対策戦略

2010/10/04

「政府は企業をサイバー脅威から守るためにもっと努力すべきだ」――ホワイトハウスの前サイバーセキュリティ・アドバイザー、リチャード・クラーク氏は訴える。20世紀に作られた古い対策を見直して、企業と政府の双方が新しい対策を講じるべきときである。膨大なコストを必要とせずともできることはあるはずだとも、氏は述べている。

キム・ナッシュ ● text by Kim S. Nash

政府が積極的に企業を守るべきと述べるホワイトハウスの前サイバーセキュリティ・アドバイザー、リチャード・クラーク氏

――著書『Cyber War: The Next Threat to National Security and What to Do About It(サイバー戦争:国家安全保障に対する次なる脅威とその対策)』の中で、米国がサイバー攻撃にいかに脆弱かを指摘しています。核戦争に対する抑止策と同じく、サイバー戦争に対しても有効な抑止策を講じることは可能でしょうか?

 いろいろな理由から、サイバースペースでそうした抑止策を講じることは不可能です。核の時代には、世界中で2,000回以上もの核実験が行われました。核保有国が、その破壊力を実証して見せるためです。しかし、サイバー兵器を事前に実証するのは困難です。核戦争ではミサイルを見ることができますが、サイバー戦争ではだれが攻撃しているのかはっきりしません。しらを切ることだってできるのです。

――政府は何をすれば企業を守れるのでしょう?

 もっと努力する必要があります。政府は、法律や政策を通して産業スパイ対策を積極的に進めるべきです。

 米国政府の防諜活動は、主に企業でなく外国政府に対して行われており、そのほとんどはスパイ活動です。これは20世紀の古くさい手法なのです。

 法律や政策を改訂し、国防総省のサイバー司令部にAT&Tやバンク・オブ・アメリカを防御する法的権限を与えるべきです。政府は、企業にサイバー脅威の存在を説明することも必要でしょう。例えば英国政府は、MI5(英国情報局保安部)の責任者から英国内の大手300社のCEOに、中国にハッキングされたことを知らせる書簡を送りました。

――企業がすべきことは?

 まずは自社の重要な資産を明確にすることです。すべてのデータを保護し、社内ネットワーク全体を等しく防御することなどできません。重要度もそれぞれ異なります。

 重要なのは知的財産か、マーケティング・プランか、それとも研究開発か。それぞれを切り分けて独自の防御策を講じ、それ以外は紛失したり盗まれたりしても大きなダメージを受けないようにすることです。

――企業はなぜそうしないのでしょう?

 CEOや取締役は、膨大な情報を紛失して結果的に他社に市場を奪われたという明白な証拠を突き付けられたり、それによって責任を問われたりするまで、特に対策を講じようとはしないものです。「CIOがやってくれるはず」と軽く考え、CIOに任せておけば大丈夫だと思い込んでいるのです。

 リソースの確保だけでなく、防御に必要なポリシーを定めるうえでも、CIOが取締役とCEOのコミットメントを必要とすることは少なくありません。一般に、CIOに期待されるのはネットワークの運用管理とコストの削減です。このため、多くのCIOはこうした分野の専門家として雇われており、攻撃に耐えられ回復力のあるネットワーク作りの専門家として雇われているわけではありません。

――鉄壁のセキュリティには莫大なコストがかかると言われますが?

 実際にはそれほどコストはかかりませんし、IT支出を増やさずにできることもあります。今の企業は、サイバーセキュリティのソフトウェアとサービスに多額の投資をしていますが、まったく使い物にならなかったり、低レベルの脅威にしか効果がなかったりします。

――金融機関や電気・ガス・水道といった公益法人、そして通信会社は、我々の社会の一翼を担う基幹インフラです。こうした企業がハッキングされたら、政府は当然その企業に知らせるべきでしょうか?

 政府には、特定の企業が攻撃を受けたときだけでなく、その企業のライバル会社などが攻撃を受けたときも通知して、サイバー攻撃が起こっているという事実をきちんと認識させる責任があるはずです。

 グーグルは中国が発信元とされる攻撃について公表しましたが、他のほとんどの企業はそうではありません。株主にも一般にも公表していないのです。

 問題は、企業がときとしてハッキングされたことを知らずにいて、あとになってから気付くことです。安いコピー品や類似品が登場してはじめて情報が流出したことを知るわけです。


http://www.ciojp.com/contents/?id=00006737;t=24


 

  拍手はせず、拍手一覧を見る

この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
 コメントの2重投稿は禁止です。  URL紹介はタイトル必須
ペンネームの新規作成はこちら←  最新投稿・コメント全文ページ
フォローアップ:

 

 次へ  前へ

▲このページのTOPへ      ★阿修羅♪ > 戦争b5掲示板

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。

     ▲このページのTOPへ      ★阿修羅♪ > 戦争b5掲示板

 
▲上へ       
★阿修羅♪  
この板投稿一覧