水際対策では間に合わない。サイバー攻撃者の行動を想定した対策を
コメント
注目のコメント
なぜサイバー攻撃を仕掛けるのか、このあたりの目的を問題視すべきであって、「とにかくサイバー攻撃をいかに防ぐか」みたいなテーマだと、オレオレ詐欺から結婚詐欺まであらゆる詐欺を防ぐには?みたいな感じにしかならないように思えてしまう。
標的型と無差別型には中間的なものもある(ひょっとしたら標的型にカウントされるのかもしれないが)。
例えばマルウェアに感染した自治体職員のPCが「台風」や「豪雨」と言う単語を含むメールを受信すると、アドレス帳の宛先に「被害状況の報告」等のマルウェア付きメールを無差別に送付してしまう。
それなりに多くの自治体職員のPCが感染していたと思うが、セキュリティソフトウェアが導入されている事もあり、本人は全く気付いていなかっただろうし、検知できる方法も無いだろう。
※2017年の全面的なセキュリティ対策により無くなったと思いたい。
一方で、(本当の)標的型攻撃で最も気をつける必要があるのは、やはりソーシャルエンジニアリングだろう。
標的型の目的は、あくまて「標的」に対する特定の目的を持ったものなのだから、セキュリティソフトウェア云々の話とはまた異なると思う。現場の肌感覚と乖離している話なんですよね、経営者層にセキュリティは大事です…みたいな話をしている感じに近いでしょうか?
リーマンショックの少し前くらいから、攻撃がビジネスになったことで、攻撃側のプロ化が急激に進んだ実態が抜けています
プロによる攻撃手段の多彩化で、セキュリティの考えが変化し、今までセキュリティ設計を担った基盤SEでは、防御の設計が難しくなった…つまり事前に設計して基盤に施すセキュリティは最低限になり、セキュリティ対策は専門化した訳です
それに、攻撃側はソーシャルハックも含めて、我々の知らない手札を何枚も持っています。そのため、侵入自体に気がつかない可能も高くなりました。
にも関わらず、経営者やPMは今でもシステムでセキュリティ対策ができると信じています
水際対策では間に合わないではなく、未知の攻撃を受けた前提でセキュリティポリシーから作らないと、リスクコントロールできない…が正解です。前提条件が弱いから、記事の内容が薄く感じられるのではないでしょうか?