セキュリティコンサルティングの米ファウンドストーンは、システムの管理者がハッカーとしてネットワークに攻撃することで、有効なセキュリティ対策方法を学ぶというユニークな教育プログラム「Ultimate Hacking」を展開する。同社のプログラムは、既に米国の大企業を中心に5000人余りが受講しており、伊藤忠テクノサイエンス(CTC)が10月から開始したセキュリティ教育事業でも提供されている。ファウンドストーンでトレーニング責任者を務め、セキュリティ専門書の執筆にも携わったデイン・スケイゲン氏にセキュリティ対策の現状などについて聞いた。要旨は以下の通り。
◆最近では、Windowsに対する攻撃が集中している。Windowsは、ユーザーの使い勝手を追及した結果、セキュリティが弱くなった。しかし、LinuxもWindowsと同じくらいセキュリティ面ではぜい弱だ。どのOSを利用していても、セキュリティ管理がしっかりとされていれば、安全は保たれる。
◆最大の問題は、管理する側の人間よりも、攻撃する側の人間のほうが圧倒的に多いこと。攻撃する側は1つか2つの攻撃方法を知っていればよいが、管理者は攻撃を受ける件数だけ対策を知っていなければならない。当社がシステム管理者を対象にハッキングの方法を教育するのは、管理者に攻撃する側の視点を身に付けてもらうためだ。攻撃する立場で自社のシステムを見ると、これまでに気付かなかった弱点が見えてくるようになる。
◆今後は、OSだけではなく、Webアプリケーションに対する攻撃が増えてくるだろう。OSは度重なる攻撃があったことで、セキュリティレベルが高くなった。しかし、Webアプリケーションは、必ずしもセキュリティレベルが高いとは言えず、攻撃の対象になりやすい。
(中井 奨=日経ソリューションビジネス)
