【セキュリティ】「ソニーの漏洩事件で問題だったのはグループ内の情報共有」、三菱総研が解説[11/07/14]
1 :のーみそとろとろφ ★:
三菱総合研究所(三菱総研)は2011年7月12日、都内で報道メディア向けの意見交換会を開催し、
ソニーをはじめ大手企業や有名企業を狙い撃ちする形で続発しているサイバー攻撃の実態や、
それに対して企業がとるべき対策などについての解説を行った。
「大規模サイバー攻撃の実態と政府や企業の対策の方向性」と題された意見交換会で、
講師として登壇したのは同社の情報技術研究センター クラウドセキュリティグループで主席研究員を務める
村瀬一郎氏(写真)である。
村瀬氏はまず、「サイバーテロ」と「サイバー攻撃」という言葉の違いを説明するところから話を始めた。
村瀬氏によれば、一般にサイバーテロとは「テロリストが政治的意図をもって、サイバー空間を介した攻撃をすること」
であり、片やサイバー攻撃は「攻撃者が政治的意図の有無にかかわらず、
サイバー空間を介した攻撃をすること」と定義されるという。
サイバー攻撃の中にサイバーテロが包含される形になるわけだ。
この定義に基づくと、
例えば2009年に発生した米国や韓国政府機関へのDDoS攻撃や
2010年9月の日本政府機関へのネットワーク攻撃はサイバーテロ、
2011年4月に発生したソニーのゲーム機向けネットワーク「PlayStation Network」(PSN)へのハッキング事件は
サイバー攻撃ということになる。「ただし、世の中的にはかなりあいまいに使われている。
例えば、日本政府が公開している文書ではサイバー攻撃全般のことをサイバーテロと呼んでいる。
また、経済産業省や総務省ではサイバーテロという言葉自体を使っていない」(村瀬氏)。
次に村瀬氏は、過去7年ほどの間に世界中で起こった大規模なサイバー攻撃の事例を列挙したリストを提示し、
その中から
(1)2007年4月のエストニア政府機関などへのDDoS攻撃、
(2)2009年7月の米国・韓国政府機関などへの大規模攻撃、
(3)2009年12月の米Googleなどへの不正アクセス、
(4)2010年9月のイラン原発制御システムなどに対するウイルス攻撃、
(5)2011年4月のソニーへの大規模攻撃---という五つの事例を取り上げてそれぞれ解説を加えた。
五つの事例の中で、
特に注目すべき事件の一つとして同氏が取り上げていたのが
(5)のソニーへの大規模サイバー攻撃およびそれに伴う情報漏洩事件である。
同氏によれば、この事件については「既知の脆弱性を放置していたこと」や「ハッカーグループとの抗争」など
様々な背景的要因があるとしながらも、
「グループ会社間で情報セキュリティ文化の共有が不足していたこと」が事件を理解するうえで
重要なポイントになるという。
「ソニーという会社は、決して一部で言われるようにセキュリティを重視しない人間の集団だったり、
セキュリティに関する知識や技術レベルが低い会社だったりするわけではない。
例えば、デジタルテレビやDVDレコーダといった製品のセキュリティ基準に関するPDF文書を
いち早くWebで公開するなど、販売する製品のセキュリティ確保については
国内メーカーの中でも群を抜いて意識が高いメーカーと言える」(村瀬氏)。
続きます
http://itpro.nikkeibp.co.jp/article/NEWS/20110713/362393/
ソニーをはじめ大手企業や有名企業を狙い撃ちする形で続発しているサイバー攻撃の実態や、
それに対して企業がとるべき対策などについての解説を行った。
「大規模サイバー攻撃の実態と政府や企業の対策の方向性」と題された意見交換会で、
講師として登壇したのは同社の情報技術研究センター クラウドセキュリティグループで主席研究員を務める
村瀬一郎氏(写真)である。
村瀬氏はまず、「サイバーテロ」と「サイバー攻撃」という言葉の違いを説明するところから話を始めた。
村瀬氏によれば、一般にサイバーテロとは「テロリストが政治的意図をもって、サイバー空間を介した攻撃をすること」
であり、片やサイバー攻撃は「攻撃者が政治的意図の有無にかかわらず、
サイバー空間を介した攻撃をすること」と定義されるという。
サイバー攻撃の中にサイバーテロが包含される形になるわけだ。
この定義に基づくと、
例えば2009年に発生した米国や韓国政府機関へのDDoS攻撃や
2010年9月の日本政府機関へのネットワーク攻撃はサイバーテロ、
2011年4月に発生したソニーのゲーム機向けネットワーク「PlayStation Network」(PSN)へのハッキング事件は
サイバー攻撃ということになる。「ただし、世の中的にはかなりあいまいに使われている。
例えば、日本政府が公開している文書ではサイバー攻撃全般のことをサイバーテロと呼んでいる。
また、経済産業省や総務省ではサイバーテロという言葉自体を使っていない」(村瀬氏)。
次に村瀬氏は、過去7年ほどの間に世界中で起こった大規模なサイバー攻撃の事例を列挙したリストを提示し、
その中から
(1)2007年4月のエストニア政府機関などへのDDoS攻撃、
(2)2009年7月の米国・韓国政府機関などへの大規模攻撃、
(3)2009年12月の米Googleなどへの不正アクセス、
(4)2010年9月のイラン原発制御システムなどに対するウイルス攻撃、
(5)2011年4月のソニーへの大規模攻撃---という五つの事例を取り上げてそれぞれ解説を加えた。
五つの事例の中で、
特に注目すべき事件の一つとして同氏が取り上げていたのが
(5)のソニーへの大規模サイバー攻撃およびそれに伴う情報漏洩事件である。
同氏によれば、この事件については「既知の脆弱性を放置していたこと」や「ハッカーグループとの抗争」など
様々な背景的要因があるとしながらも、
「グループ会社間で情報セキュリティ文化の共有が不足していたこと」が事件を理解するうえで
重要なポイントになるという。
「ソニーという会社は、決して一部で言われるようにセキュリティを重視しない人間の集団だったり、
セキュリティに関する知識や技術レベルが低い会社だったりするわけではない。
例えば、デジタルテレビやDVDレコーダといった製品のセキュリティ基準に関するPDF文書を
いち早くWebで公開するなど、販売する製品のセキュリティ確保については
国内メーカーの中でも群を抜いて意識が高いメーカーと言える」(村瀬氏)。
続きます
http://itpro.nikkeibp.co.jp/article/NEWS/20110713/362393/
|
|
|
2 :名刺は切らしておりまして:2011/07/15(金) 10:56:31.44 ID:wvN2JjwH
>>1の続き
では、なぜあのようにセキュリティレベルの低さを疑われるような形で事件は起こってしまったのか。
「それは、グループ企業内でセキュリティに関する知識や技術、
文化などを共有する仕組みや体制を構築していなかったためだろう」と村瀬氏は推測する。
「ソニー本体がいくら高度なセキュリティ知識や技術を有していても、
グループ会社や子会社も同じ水準になければ脆弱な部分が残ることになり、
結局全体のセキュリティレベルが低下してしまう」(同氏)。
このことはソニーに限った話ではなく、企業がセキュリティ対策を考えるうえで避けて通れない話であると村瀬氏は
強調していた。
以上です
では、なぜあのようにセキュリティレベルの低さを疑われるような形で事件は起こってしまったのか。
「それは、グループ企業内でセキュリティに関する知識や技術、
文化などを共有する仕組みや体制を構築していなかったためだろう」と村瀬氏は推測する。
「ソニー本体がいくら高度なセキュリティ知識や技術を有していても、
グループ会社や子会社も同じ水準になければ脆弱な部分が残ることになり、
結局全体のセキュリティレベルが低下してしまう」(同氏)。
このことはソニーに限った話ではなく、企業がセキュリティ対策を考えるうえで避けて通れない話であると村瀬氏は
強調していた。
以上です
3 :名刺は切らしておりまして:2011/07/15(金) 11:02:29.99 ID:so1h0wXo
>村瀬氏はまず、「サイバーテロ」と「サイバー攻撃」という言葉の違いを説明するところから話を始めた。
何だかなぁ・・・
何だかなぁ・・・
4 :名刺は切らしておりまして:2011/07/15(金) 11:12:21.80 ID:9Pc8NprT
>>1
> 「ソニーという会社は、決して一部で言われるようにセキュリティを重視しない人間の集団だったり、
>セキュリティに関する知識や技術レベルが低い会社だったりするわけではない。
セキュリティを重視する人間集団は情報共有しますwww
> 「ソニーという会社は、決して一部で言われるようにセキュリティを重視しない人間の集団だったり、
>セキュリティに関する知識や技術レベルが低い会社だったりするわけではない。
セキュリティを重視する人間集団は情報共有しますwww
5 :名刺は切らしておりまして:2011/07/15(金) 11:14:01.95 ID:/GYuX6C5
どさくさにまぎれて個人情報売った社員とかいそう
6 :名刺は切らしておりまして:2011/07/15(金) 11:35:15.12 ID:1qlWCOub
攻撃なんてされる訳がない、なんてタカを括ったのがいかん
世の中にはクラッカー、ハッカーと呼ばれる集団がいて、そいつらは無差別にあの手この手で攻撃をしかけてくる、更に厄介な事に、気紛れで動くから、いつ自分達が狙われてもおかしくない
そんな中でも顧客の情報を守る為には、常に備えあれば憂いなしを徹底するようにしなきゃいけない
ネットセキュリティーに対するコスト比重を高める検討をしたほうがいい
世の中にはクラッカー、ハッカーと呼ばれる集団がいて、そいつらは無差別にあの手この手で攻撃をしかけてくる、更に厄介な事に、気紛れで動くから、いつ自分達が狙われてもおかしくない
そんな中でも顧客の情報を守る為には、常に備えあれば憂いなしを徹底するようにしなきゃいけない
ネットセキュリティーに対するコスト比重を高める検討をしたほうがいい
7 :名刺は切らしておりまして:2011/07/15(金) 16:33:03.00 ID:XIbbKWVC
専門的なことを言わせてもらえばね、コストカットの優先順位を間違えたん
だよ。経営者というものは、コストカットをするために常に目を光らせている
ものなんだが、ストリンガーさんはSONYのIT関連のセキュリティーが
過剰だと思ったんだよ。というわけで、大胆にコストカットしたらこのザマ
だよw
これはストリンガーの明らかな経営判断ミス。
やるべきことは株主総会で現経営陣を退陣させること。ITセキュリティー
うんぬんみたいな枝葉末節な議論でお茶を濁すなよ。くだらねえ。
だよ。経営者というものは、コストカットをするために常に目を光らせている
ものなんだが、ストリンガーさんはSONYのIT関連のセキュリティーが
過剰だと思ったんだよ。というわけで、大胆にコストカットしたらこのザマ
だよw
これはストリンガーの明らかな経営判断ミス。
やるべきことは株主総会で現経営陣を退陣させること。ITセキュリティー
うんぬんみたいな枝葉末節な議論でお茶を濁すなよ。くだらねえ。
8 :名刺は切らしておりまして:
典型的な没落企業だな