と述べたのは、エフセキュアのセキュリティコンサルタントであるLaura Kankaala(ローラー・カンカーラ)です。彼女は、今年ヘルシンキで開催されたノルディックセキュリティイベント Disobey2019(英語) でサイバーセキュリティ対策について講演した4人の女性のうちのひとりです。
彼女らの「セキュリティについて考えるワークショップ」は、「Future Female(女性エグゼクティブ育成プログラム)」傘下の多くのイベントのうちのひとつでした。Future Femaleという組織は、女性に技術的な話題を提供することを目的としていますが、会場は多くの男性であふれていました。
エフセキュアのChristine Bejerasco(クリスティン・ベジェラスコ – コンシューマーセキュリティ)、Laura Noukka(ローラ・ヌッカ – シニアリスク管理コンサルタント)、およびKarmina Aquino(カルミナ・アキノ – エフセキュアラボ )もワークショップをリードしました。
Laura Kankaalaは、「攻撃するのも面白いです。」と語っています。一方で、Laura Noukkaは、「私はリスクとプライバシー管理の範囲内ですべてをプロアクティブに保護しようとしているので、彼女のできることは多くありません。それでも彼女は成功しています。」と述べています。
ワークショップに参加した32名は、4名のメンバーからなる8つのチームに分けられ、攻撃者と防御者に役割分担されて、お互いの知恵を競い合いました。
危険にさらされる企業
この演習では、攻撃者は豊富な資金をもとに大がかりな攻撃を仕掛ける部外者です。ヘルスケア企業の下請け業者の運営しているネットワークやシステム上のアセットにアクセスし、被害を与えようとしました。防御者は、サイバーセキュリティの専門家として、サイバー脅威とリスクを調査、検出、予防しました。
この演習のシナリオは次のようなものでした。
政府が、ヘルスケアサービスプロバイダ企業のCISOに今後のセキュリティ評価の実施について通知し、認定資格の取得を促しました。
その3ヵ月間で、政府はヘルスケアサービスプロバイダのネットワークとシステムをチェックするためのセキュリティコンサルタントを採用します。こうした政府による認定の促進は、コンサルタントにとってさらに大きなビジネスチャンスとなります。
政府によるセキュリティ評価に確実に合格するために、CISOはすぐに行動を起こし、GDPRに対して経験のある、第三者のサイバーセキュリティ会社を採用し、評価を実行しシステムをセキュアに保つ支援を受けました。
フィンランドのいくつかの中規模病院は、健康情報を安全に保管するヘルスケアサービスプロバイダのUltraTerve社と契約しています。UltraTerve社は、専任のITセキュリティ専門家チームを雇う余裕がない病院にとって非常に頼りになるサービスプロバイダです。
ワークショップでは、攻撃者と防御者がどのように考えているかを実感することを意図しています。 攻撃者の視点では、対象企業の最も弱いリンクを探し、パスワードや機密文書などの貴重な情報を抽出することで、攻撃者がどのようにして会社に侵入することができるのかを知ることができます。また、防御者の視点では、侵入テスト、ソフトウェア開発、セキュリティ研究およびリスク管理のキャリアを持つ様々な専門家が、セキュリティを「考える」方法や、これらの種類の攻撃に対する個人および企業のシステムとネットワークの防御力を向上させる方法について理解することができます。
演習結果の検証
「各チームは皆良くやったと思います。演習を自分の身近にある現実の問題として向き合っていました。」
各チームは類似した方法や独創的な方法を実行しました。その結果、優れたアイデアをいくつも思いつきました。その中には、防御者からの提案として、攻撃を受けている企業の人々へOPSEC(運用上のセキュリティ)トレーニングを実施することなどがありました。
「通常、私たちは技術的な解決策ばかりを考えていますが、実際には人間も全体像の一部であり、ソーシャルエンジニアリングは私たちの最強の防御さえ回避できることを忘れがちです。」とChristineは述べています。
土曜日のワークショップ(英語)で、6対5で防御者が勝利を収めたことには、いささか驚かされました。
「インフラは脆弱で、リソースも少ないという前提を考慮すれば、誰ひとりとしてこの結果を予想していなかったと思います。」とKarmina Aquinoは語っています。
人事担当者が優れた人材を探すために観察していたという、隠しておいた要素もありました。
エフセキュアの人事採用課のDomnita Lungu(ドムニタ・ルング)は、次のように説明しています。「プロアクティブな人、最も多くアイデアを出す人、リーダー、そしてフォロワーは誰なのかを見極めるために、私は各チームの演習に立ち入りました。
なぜなら、結局のところ技術的に熟練しただけの人物を採用するわけではないからです。むしろ、直面する課題を抱えたグループの状況下でどのように行動するかによって、その人の個性を良く知ることができ、同僚との仕事の仕方や協調する様子も明らかになるのです。」
写真提供:Mikael Peltomäki(ミカエル・ペルトマキ)氏/Disobey
