企業の脆弱性は25万ドルで売買されている!<br />“ビジネス”と化したサイバー攻撃への対処法<br />――ブレント・コンラン 米マカフィー社CSOに聞くブレント・コンラン(Brent Conran)
米国マカフィー社CSO(チーフ・セキュリティ・オフィサー)。メリルリンチ・グループ、J.P. モルガンでIT/セキュリティ責任者を務めた後、米国下院においてCIO(最高情報システム責任者)とCISO(最高情報システムセキュリティ責任者)を兼任。業界に先駆けてクラウド技術を用いて議会情報システムの刷新を行うなどの功績を残した。その後、現職に。世界最大のセキュリティプロフェッショナル団体である(ISC)2 Goverment Advisory Boardの会員であり、本文中で触れているCISSPをはじめ、セキュリティ業界において数多くの資格を取得している。マカフィーの世界的なセキュリティポリシー、技術標準の策定と実行に関する責任者。
Photo by Toshiaki Usami

ブレント・コンラン氏は、大手セキュリティベンダーのマカフィー社(米国)でCSO(最高セキュリティ責任者)を務め、自社のセキュリティポリシーを統括すると同時にマカフィー社自体を外部の攻撃から守る責任を負っている。過去には米国下院のセキュリティ責任者も務め、サイバー攻撃の脅威を評価するため、世界中のサイトの脆弱性をチェックしていた、いわば攻撃者の技術や心理も知り尽くしたプロである。世界のサイバー犯罪の最新事情と、マカフィー社の取り組みを聞いた。(聞き手/ダイヤモンド・オンライン 指田昌夫、魚谷武志 撮影/宇佐美利明)

標的はどこでもいい。
ただ「脆弱性が見つかるか」だけ

――ここ数年報道されるサイバー犯罪は、グローバル化が目立ちます。実際にその傾向は強くなっているのでしょうか。

 言うまでもありませんが、世界がインターネットで結ばれた昨今、どこからでもあらゆるネットワークへの攻撃が可能になりました。日本国内の企業も、地球の裏側に住むハッカーから、日常的に攻撃を受けています。

 もはや我々が働く企業や、ネット上に登録してある個人情報は、サイバー攻撃から逃れるのが難しくなっています。つまり、どうやって攻撃をブロックしていくのかを考えていく、それしかない状況だということを自覚すべきです。

 ですが、そのこと以上に私が皆さんに知ってほしいのは、サイバー犯罪がグローバル規模の「犯罪ビジネス」として確立してしまったという事実です。

――“ビジネス化”によってサイバー犯罪はどう変わったのでしょうか。

 数年前まで、特定の企業や公共機関を攻撃する「標的型サイバー攻撃」には、なんらかの目的がありました。しかし現在明らかになる事例は、その企業や組織に弱いところ(脆弱性)があったというだけで、それ以外に理由が見いだせない場合が多くなっています。

 攻撃対象は、単なる弱点を持つ“標的”としてしか見られていないということです。

 世界中のハッカーたちは、日夜世界中の企業や組織の脆弱性を粘り強く探しています。脆弱性を見つければ、その情報はサイバー犯罪のマーケットで1件につき25万ドル程度で売りさばくことができます。