株式会社ナレッジベースの杉山です。
9/4に開催されました「セキュリティマネジメントカンファレンス 2019 夏 大阪」に参加してきました。 会場のグランフロント大阪は。オシャレビルなので毎回場違いな気がして妙にドキドキする場所です。
初代インターポールIGCI総局長を務められた中谷昇氏の基調講演では、「情報漏えい」ではなく「情報は盗まれている」と表現が適切であるとおっしゃられていたのには納得でした。
確かに比率としては、人的ミスが大半なのですが、 まだまだ日本では情報セキュリティの脅威としては、メールの誤送信などが主たるものであると考える風潮があります。
しかし、IPAが発表した「情報セキュリティ10大脅威 2019」にベスト10にも挙がっていますが、企業を狙った攻撃が大きな問題になっています。
攻撃者は、従来の愉快犯から政治目的などのテロリストや金銭目的の犯罪者、そして国家が背後にある組織など一企業が戦うには手に余るほどの資金や技術力を持っています。
そのような流れの中で、サプライチェーンのなかでセキュリティの対策の甘い企業が狙われる危険性が高まっています。
うちの会社は世界から狙われるような秘密なんか持っていないと思っていると、取引先を間接的に攻撃することになりかねない状況です。
もし、取引先で情報セキュリティのインシデントが発生し、攻撃の発端が自社のサーバ経由や自社のアドレスを利用した偽装メールであった場合、後の取引の影響は計り知れないうえ、賠償問題に発展することもあります。 まったく持って他人事で済まないようになりました。
そして、その情報セキュリティの脅威の対策については、「EPP( Endpoint Protection Platform)」+「EDR( Endpoint Detection and Response )」が主流となってきているようです。
文書が長くなってきたので、続きは次回に。
