「ソニーの情報漏えい事件で、我々は何を学ぶか?」ラック西本CTOが考察


 株式会社ラックは、同社最高技術責任者(CTO)である西本逸郎氏による緊急特別コラム「ソニーの情報漏えい事件で、我々は何を学ぶか?」を同社ウェブサイトで公開した。17ページのPDFファイルでダウンロードできる。

 PlayStation Networkなどの大規模情報漏えい事件以来、ラックに対して企業から問い合わせが増えているという。また、西本氏もたびたびメディアに登場してコメントしているが、同コラムでは、西本氏が本当に伝えたかったことは何だったのか、考えをまとめたとしている。

 攻撃手法や、ソニーの情報開示や対策が的確だったのかなどを考察した上で、「セキュリティ対策方針の転換が必要な時期に来ている」と指摘。すなわち、攻撃が日増しに狡猾になっている中で侵入そのものを100%防ぐことは困難であり、侵入や事故発生を前提として考えるべきだという。

 また、よく寄せられるという「今回の攻撃はどうすれば防げたのか?」との質問には、「セキュリティ対策には、特効薬はありません。やるべきことをやるしかないのです」と回答。「やるべきこと」とは具体的には、今回の侵入手口とされているアプリケーションサーバーの既知の脆弱性がないか確認すること、異変があった場合にすぐに気付くことができるようセキュリティ意識を高めるとともに、セキュリティ事故対応チーム(CSIRT)を組織しておくことなどを挙げている。


関連情報


(永沢 茂)

2011/5/18 15:00