日本セーフネット株式会社 提供コンテンツ
- スペシャル
- 会員限定
- 2014/03/01 掲載
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
標的型攻撃が猛威をふるっている一方で、守るべきデータは爆発的な増加を続けている。こうした状況の中、企業はどのように対応するべきなのか。「SafeNet Crypto Live Japan Forum 2013」で登壇したデロイトトーマツリスクサービスの丸山満彦氏は「Information Centric(情報中心)の対策が必要」と説く。また、同イベントに登壇したデータベースセキュリティコンソーシアムの高岡隆佳氏は「データベース暗号化ガイドライン」などを紹介した。
Information Centricでリスクの優先順位に従った段階的施策を
パートナー
公認会計士
公認情報システム監査人(CISA)
丸山 満彦 氏
丸山氏は、サイバー攻撃の目標には2種類のターゲットがあると指摘する。それは政治的な目的と、経済的な利益(金銭)を目的とした攻撃だ。「特にデータベースに対する攻撃は、経済的な利益を狙ったものが多くあります。最近のグローバル化に伴って企業が海外に進出していますが、情報保護の観点から、海外拠点に対するセキュリティについては、国内とシームレスなポリシーやシステムづくりがポイントになっています」(丸山氏)。
特にここ2、3年は、APT攻撃の被害が大きく報じられている。しかし、攻撃手法は年々変化しているものの、標的となる情報そのものは変わらない。そこで丸山氏は「Information Centric(情報中心)の対策が必要です。これは多層防御の考え方と似ていますが、守る情報を中心におき、それに対してシステムをどうするかという観点で考えるというスタンスです」と説明した。
Information Centricで見た技術的対策は、保護すべき情報を中心としたバランスのとれた技術的な対策が重要になる。たとえば厳密なアクセスコントロール、操作ログの取得・保全、ID管理、暗号化による管理などをバランスよく導入する。「特に暗号化の管理は、情報を盗み出されても鍵が盗まれない限り復号できないため、最後の砦になるもの。ただし暗号鍵をきっちり管理できなければ意味がないので注意してほしいと思います。また、すべての情報を暗号化することは現実的ではないので、情報の峻別が必要となります」(丸山氏)。
(出典:丸山氏講演資料)
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
