コンテンツを開く

テーマのトレンド

Episode 59| 最新のテクノロジーを最新の脅威にしないために

F-Secure Japan

15.11.21 26 min. read

サイバー犯罪は常に進化し続けています。新しい技術が導入されると、攻撃者はそれを悪用して悪のある目的に利用する方法を考え始めます。エフセキュアのCTO(最高技術責任者)であるChristine Bejerasco(クリスティン・ベジェラスコ)ほど、この問題を深く理解している人はいません。ChristineにCyber Security SaunaのEpisode59に参加いただき、急速に変化するサイバー犯罪の世界について語ってもらいました。さらに、企業がセキュア・バイ・デザインのアプローチを採用することで最新技術の悪用を防ぐ方法について解説してもらいました。

Janne、お招きいただき、ありがとうございます。

早速ですが、新たに登場した技術がすぐに悪用されてしまう事例を教えてもらえますか?

これは興味深い事実ですが、歴史的な観点から振り返ってみます。例えば、マイクロソフトのワードプロセッサー、Microsoft Wordがマクロを導入したのはいつだったでしょうか? ネットで調べてみると1993年でした。そして、このマクロを悪用した最初のマルウェアが1995年に登場し、PoC(Proof of Concept:概念実証)が行われました。Microsoft Wordは、自動化のためのプラットフォームにもなり、これは非常に良いことでした。マクロの搭載は素晴らしいことで大変助かります。しかし当然ながら、このプラットフォームは脅威アクターが悪意のある活動を行うためのプラットフォームにもなりました。そして今でも脅威アクターによって悪用されています。

これが一例です。もう1つの例はアプリストアです。私の記憶が正しければ、最初にアプリストアを導入したのはイギリスのPDAメーカーのSymbianでした。Symbianが登場する前の携帯電話は、ユーザーの好みに合わせてカスタマイズすることはできませんでした。自分でアプリを入れることはできず、使えたのはメッセージング、目覚まし時計、そしてスネークゲームだけでした。(笑)当時はそんな状況でした。

Christine Bejerasco, Chief Technology Officer, F-Secure

Christine Bejerasco, Chief Technology Officer, F-Secure

そうでしたね。

その後、Symbianが登場し、新しいアプリがリリースされて誰もが利用できるようになりました。それが2003年のことです。そして2004年には、Symbianを使った最初のBluetoothワームであるCabirが現れたのです。

このように、新たな技術が登場すると、それはすぐに脅威アクターが悪意のある活動のためのプラットフォームにもなってしまうのです。

なるほど。私たちユーザーが技術の進化に対して理解を深めるにつれ、攻撃者の思考も進化していきます。彼らは、その技術をよりよく理解し、設計者が思いもしなかったことに使うことができます。では、どうすればよいのでしょう?新技術の導入を止めますか?

そんなことをしたら石器時代に戻ってしまいます。新技術を導入しないという選択肢はありません。もし、誰も電気を使い始めなかったら、今日のインターネットは存在していません。新技術を導入するということは、その技術だけでなく、他の人がその上に新しい技術を構築するためのプラットフォームを生み出すことでもあるのです。電気、コンピュータ、インターネット、これらはすべて、私たちの生活を向上させるプラットフォームです。リモートワークができるのも、これらの様々な技術があるからです。

ですから、もっと多くの技術を導入すべきだと思います。しかし、何かを導入するときには、それがどのように悪用されるかということを常に考えるべきです。

たとえば、私たちが家を建てる時、建てた後になって玄関ドアに鍵が付いていないことがわかり、「この地域は治安が悪いから鍵を付けよう」と気付くわけではないですよね。

ソフトウェアを構築する際も考え方は同じです。最初の段階で「このソフトウェアに、初めからセキュリティを組み込むにはどうしたらよいか?」と考えるべきです。つまり、セキュア・バイ・デザインで安全なソフトウェアを構築するのです。初めから完璧にできるとは言いませんが、現在では「セキュリティのシフトレフト」と呼ばれる概念があります。セキュリティを、開発プロセスでなく、設計プロセスにできるだけ近づけるべきという考え方です。ある機能やAPIがどのようにして悪用されるのか、脅威モデリングのセッションを行います。そしてそれを緩和する方法を考えるのです。

これまでセキュリティチームはソフトウェア開発プロジェクトの最後の段階で参加していました。しかし、それを左に、つまり開発サイクルの初期段階にシフトさせて、既存の枠組みに縛られずに考えるのですね。意図している機能だけでなく、悪意のある人や非常に創造的な人がこのソフトウェアで何ができるのかを確認するということですか?

その通りです。それが、現時点で私たちにできる最善策だと思います。なぜなら、この世界ではすでに複雑なシステムの上に、さらに複雑さを加えているからです。エンドポイントOSとしては、Windows、Linux、Macなどがあります。また、モバイル用のOSもあります。さらに、最近ではクラウドプラットフォームが加わりました。組織によっては、これらをハイブリッドで導入したり、マルチクラウドで導入していますが、それらを実装するプラットフォームも様々なものがあります。

正直なところ、現在組織が抱えているすべての領域を安全に保つのは、気が遠くなるような作業です。そして、組織が負うべき責任とは何でしょうか?どこまでが組織の責任で、クラウドプラットフォームの所有者の責任はどこから始まるのでしょう?

それは、簡単に定義できません。したがって、組織内のセキュリティチームのリーダー達がこの点について混乱するのも、ごく当たり前のこととして理解できます。

問題は、このような人々を少しでも楽にするために支援する方法です。彼らが扱っている技術は古くてもまだ償却されていません。例えば、現在、メッセージングプラットフォームはいくつあるでしょうか?私よりも年季が入ったEメールは償却したのでしょうか?これは組織のセキュリティ担当者やCISOが直面している課題です。そして、技術開発者や企業は、どうすればこうした人々を助けることができるのでしょうか?

開発チームはどうすればよいのでしょう?ほんの一握りの開発者に比べて、世の中には無数のハッカーがいて、あらゆる新技術を操っています。彼らには、ソフトウェアを隅々までチェックし、すべての脆弱性を見つけ出す時間が無限にあるようにみえます。さて、どうしますか?

 

開発者チームは、会社のサポートなしでは挑戦できないと思います。1つ例を挙げましょう。新しい技術を構築する際に、会社として最初に市場に出したいのは、この技術が持つ本来の機能です。残念なことに、セキュリティ機能はカットされますが、本来これは最初のリリースで搭載されるべきものです。

開発チームが時間に追われていると、優先順位の高い機能から市場に投入されるため、セキュリティ機能が犠牲になりがちです。私が期待しているのは、もし企業が、自社の技術が攻撃のプラットフォームとして利用される可能性があることを正しく理解しているならば、セキュリティにもっと責任を持つようになります。この点を改善し、開発者に時間を割り当てて、最初のリリースからセキュリティ機能を搭載するようになることが私の希望であり、製品のコアの部分でセキュア・バイ・デザインになることを望んでいます。

また、この点は企業に限らずに奨励していきたいと思います。なぜなら、製品にセキュリティ機能を追加するには、残念ながらコストがかかるからです。それは開発者の時間に対するコストです。開発者は機能を実装する際に、製品がどのように悪用されるかを様々な角度から検討しなければなりません。もちろん、会社としても社内にセキュリティの知識がない場合は、社外のレッドチームなどと協力して、製品がどのように悪用されるかを検討する必要があります。あるいはリスクマネジメントのコンサルタントに協力を仰ぐ必要があります。そうすることで、セキュリティ・バイ・デザインを備えた製品を最初からリリースできるようになります。もちろんコストはかかります。

望むらくは、企業向けに何らかの法律や政府の支援があり、セキュア・バイ・デザインで構築する企業に何らかのインセンティブが与えられると良いと思います。適切なインセンティブがあれば、財務的な観点からも企業にとっては助かります。会社として、この製品をリリースする際にはDDoS攻撃などに使われるような製品にはしないという指示を出せば、皆がそれに向かって最善を尽くすでしょう。

私も同感ですが、もう少し掘り下げましょう。開発者がセキュア・バイ・デザインで製品を作るということは、実際にはどういうことなのでしょうか?

もちろん、セキュア・バイ・デザインは、製品の機能を設計している段階で考え始めます。実践的な例として、APIを設計するケースがあります。そのAPIは広く公開されるか、誰かがアクセスして認証するような特定のポータルを通じて公開されます。

開発者に考えて欲しいことは、「誰が最初にこのAPIにアクセスできるのか?そして、このAPIにアクセスするための認証が、アクセスを許可された人にのみ機能するようにするにはどうしたらよいのか?」ということです。もちろん、ほとんどのAPIはドキュメントが公開されています。しかし、「たとえば、このAPIのエレメントや機能が悪用されたり、アクセスが許可されていないジオロケーションなどからアクセスされないようにするためにはどうすればよいのか?
」ということを考えて欲しいのです。

私が期待しているのは、誰かがこの機能の最初のコードを書く前に人々が考え、この機能がどのように悪用されるかをシミュレーションし、できれば机上演習や脅威モデリングすることです。

どんな問題が起こり得るかですね?

その通りです。それに加えて、一旦公開されてしまえば、脅威モデリングでしか多くを考えることはできません。この機能が世に出たら、それがどのように使われたか、悪用されたかどうかを監視することができるでしょうか?それができなければ、私たちと同じような能力を持って脆弱性を探ろうとする者のなすがままになります。もし彼らがホワイトハッカーで、脆弱性を報告してくれればラッキーです。しかし、そうでなければ、その時点で製品が悪用され始めます。

まったく同感です。ここで問うべき疑問は、なぜセキュア・バイ・デザインは実現しないのかということです。開発チームにとっては、余計な労力やコストを正当化するのは難しいのでしょうか?なぜ実現しないのでしょう?

私たちは、時々開発チームにプレッシャーをかけていますが、正直なところ、彼らは機能を提供する必要のあるプロダクトマネジメントや会社からもプレッシャーを受けています。コスト要因も非常に大きな問題です。

根本原因の分析を行うと、セキュリティに関してはコスト要因が大きいのはなぜでしょうか?それは、企業にとっては、セキュア・バイ・デザインによって製品をリリースするインセンティブがあまりないからです。つまり、セキュア・バイ・デザインに真面目に取り組んで機能を提供するかどうかは企業次第であり、もし実行するなら追加のコストも負担する必要があります。

大手企業であれば、セキュリティチームを擁しており、収益も大きいのでそれも可能でしょう。しかし、スタートアップ企業はどうでしょうか?たとえば、斬新なベビーモニターを製造するスタートアップを考えると、当然ながら、赤ちゃんを監視する機能を最初にリリースしなければなりません。その上で、残った資金があったとしてもセキュリティに投資する余裕はないでしょう。

しかし、会社がセキュア・バイ・デザインを行うことで税制優遇措置を受けられるとしたら、財務に反映できるので、絶対にやるべきだと言えるでしょう。セキュリティが、ビジネスの観点からも理にかなうことになります。

市場経済においては、このような問題は需要側で解決されることが前提となっています。例えば、消費者が優れたベビーモニターを求めている場合、消費者がベビーモニターを見て、きちんと作られているかを見極めるのはとても難しいことです。それは、様々な鍵が付いていたり、「インターネット技術を使用」といった、消費者としてはよく理解できない、技術的に曖昧な説明が書かれているからです。では、どうやって解決すればよいのでしょうか?

需要がより安全な製品を購入する方向には行かず、その状態で市場経済に任せていれば、残念ながらより安価な製品が登場する方向に悪化していくでしょう。製品は期待通りに機能するかもしれませんが、Netflixなどの企業に対してサービス拒否攻撃を行うような事態に陥ってしまいます。

すでに、そのような事態に陥っていますね。

その通りです。それが今日起きていることです。セキュリティが追加コストとして扱われていることが、この問題を引き起こしていることの本質なのです。これまでに構築してきた様々なプラットフォームや技術をすべて安全にして、その上にさらに多くのものを構築できるようにしたいのであれば、構築する基盤が十分に強固なものであることを確認する必要があります。

そのとおりです。あなたは消費者への教育を諦めていて、ここのままでは問題を解決できないと考えていますね。セキュリティコミュニティとして、私たちに何かできることはありませんか?技術的なスキルを持たない人でも、理解しやすいように透明性を高めて、良いものと悪いものを区別できるようになりませんか?私たちに何ができるでしょうか?

これが非常に一般受けするアイデアかどうかはわかりませんが、私が考えていることの1つは、実際にセキュリティを機能に組み込んでいる製品を奨励したり称賛したりすることができないかと言うことです。もちろん今日では、脆弱性のない製品を見つけることはできないでしょう。しかし、プラットフォームの脆弱性を見つけるのがますます難しくなっている製品もあり、そのため、プラットフォームの脆弱性へのコストはさらに高額になっています。

したがって、そのような企業を称賛することは、特に大手以外の企業であれば良い支援になるでしょう。特に、企業として存続するために製品で利益を挙げようとしていて、抱えている課題があってもセキュリティを機能に組み込むことに継続的に取り組んでいる企業こそ称賛されるべきです。なぜなら、彼らは政府などからインセンティブは得ていないからです。それでも、彼らはこの取組みを止めないのです。だからこそ、私たちはこのような企業を高く評価すべきで、もっと支援の手を差し伸べるべきだと思います。

それは良いアイデアですね。私たちがお客様の依頼で3社のサプライヤーに対して監査を行い、セキュリティが最も優れている会社を選ぼうとした時、他の2社に比べて本当に努力している会社に出会うことがあります。そのような会社を褒めたたえるアイデアは気に入りました。真剣に努力しているのですから。あなたがおっしゃったように完璧には防御できないにしても、それに向かって取り組んでいますので。

その通りです。

その他に、開発チームがより優れたソフトウェアを開発するために、会社として支援できる方策がありますか?バグ報奨金プログラムは役立ちますか?それとも、これは私たちが目指すシフトレフトとは真逆の右端の話になりますか?

もちろん、バグ報奨金プログラムはセキュリティのレパートリーを増やすという意味で良い方法だと思います。一方で、企業はこれにどの程度の費用を負担できるかという疑問もあります。

一番左側にあるソフトウェアの設計段階から、テストの自動化や自動化機能の構築に至るまでに、様々な選択肢があります。既知の基本的な脆弱性を自動的に発見するソフトウェアもあります。その後にはリリースに至るまでの段階があります。

これらのすべての段階にセキュリティを組み込むためには、それなりのコストがかかります。たとえば、リリース管理システムの安全性を確保して、サプライチェーン攻撃に備える場合、これにもコストがかかります。ネットワークを様々な領域に分割するにもコストがかかります。

会社から支援を受けるのは、最初の段階や基本的なフレームワークだけにしても構いません。セキュリティを強化できると考えられる領域ごとに費用を見積り、予算が許される範囲で選択すれば良いでしょう。

なぜなら、すべての企業があらゆる領域をカバーして、それらの領域にセキュリティの予算を付けて実施すべきと考えるのは現実離れしているからです。恐らく、最初の製品をリリースする前に撃沈するでしょう。

それよりも、予算が許す範囲でできることを見つけ、1つずつ努力と投資をすることで、最終的にすべてをカバーすることを目指せば、セキュリティの観点から見た今日の技術レベルは確実に向上するでしょうし、すべてが良くなると思います。

よくわかりました。今はソフトウェア開発者や製品をリリースする企業側のコストについて話していますが、攻撃者側のコストについて注目する人もいます。攻撃のコストを上げることができれば、それが実際のお金であれ、必要となる特別な機材のコストであれ、時間的なコストであれ、攻撃を抑止する効果があると思いますか?

はい、それは確かです。これは難しい領域でもあります。たとえば、攻撃者の標的が彼らにとって本当に価値の高いものであり、コストがその価値よりも低い場合は、攻撃を実行することに価値があると言わざるを得ません。

私から見るとこれは単純な計算に過ぎません。攻撃者が攻撃を実行するかどうかは、標的の価値から攻撃のコストを引いた価値次第になります。過去に振り返って思いつく例としては、非常に有名なStuxnetと呼ばれるマルウェアがあります。

私の記憶が正しければ、2010年にStuxnetを見たとき、4つのゼロデイ脆弱性を悪用していることがわかりました。当時は、国家が関与した攻撃を目にしたことはなかったので、これには驚きました。誰が1つのマルウェアで、ゼロデイ脆弱性を4つも悪用するでしょうか?もし、これらのゼロデイ脆弱性がエクスプロイト取得プラットフォームで販売されていれば、かなり高価になるはずです。これがStuxnetの攻撃のコストだったわけです。しかし、攻撃の目的が某国の核濃縮プログラムを遅らせることだと判明した途端に、極めて安上がりな攻撃ということになったのです。

なるほど。核兵器は高いでしょうね?

そういうことです。コストと価値は相対的なものです。攻撃者が得ようとしているものの価値と、それに対する攻撃のコストを比較します。

わかりました。

攻撃のコストと得られる価値を考慮した場合、私たちは何をすべきなのでしょう?この種の攻撃から組織を守り、会社を守り、個人の生活を守ろうとしている私たちは、どうすればいいのでしょう?私たちが主にできることは、基本的に攻撃のコストがますます高額になるようにしむけることです。

セキュリティ・バイ・デザインに移行すればするほど、日和見的攻撃と呼んでもいいかもしれませんが、攻撃者にはコストがかかります。そこで、彼らは無差別にスパムメールを送り続け、餌食になる人を捕まえようとします。これが彼らにできる最も安上がりな攻撃だからです。その攻撃を排除して、コモディティ攻撃をしている人たちに、標的にするほど価値のあるものはないことを明確に示すことができれば良いのです。

もし、本当に価値の高いものがある場合には、次の段階に進みます。それを保護するためにはどのような保護層が必要になるのでしょうか?たとえば、ある組織がネットワークをセグメント化し、ゼロトラストモデルを導入したとしましょう。すると、ネットワークにすでに認証されたアカウントを持っている人でも、ネットワーク内の特定のデータポイントにアクセスする際には、改めて認証が必要になります。これにより、たとえ1人のユーザが侵害されたとしても、そのユーザが組織内のすべてにアクセスできるとは限らないのです。したがって、既存のデータに対する保護機能のレイヤーを追加するだけで、攻撃のコストを高めることができるのです。

もちろん。これはランサムウェアの観点でも言えることです。ランサムウェアの脅威アクター達は、攻撃に関する責任を分担しています。一部の脅威アクターは、他の脅威アクターからネットワークプロファイルを購入し、ダークウェブで販売します。そして、それを購入した脅威アクターが攻撃を実行するために使用します。

この種の攻撃を回避することは、組織にとってどの程度容易なのか、あるいは困難なのでしょうか?組織のネットワーク構造は、どの程度静的か、あるいは動的なのでしょうか?また、攻撃者にとって、組織をプロファイリングすることは、どの程度簡単なのでしょうか?

たとえば、攻撃者がまだプロファイリングをしている段階であっても、ネットワークに保護機能やサイバーセキュリティ製品が備わっていれば、攻撃者が急いでプロファイリングをしようとすればノイズが増えるので簡単に検知することができます。

たとえば基本的な衛生状態を維持するだけで、手っ取り早く儲けようとする攻撃者を締め出すことができます。すると、ゆっくりと時間をかけた攻撃だけが残ります。また、彼らがネットワークプロファイルを売ってしまう前に発見する機能を準備することもできます

まったく同感です。セキュリティの水準を上げることで、攻撃が困難になった例をいくつか挙げることができますか?

パスワードを考えてみましょう。以前は、オンラインでパスワードを作成する際は、非常に覚えやすいものにしていたので、簡単な辞書攻撃でも1分以内に推測されてしまいました。ほとんどの場合、パスワードはブルートフォース(総当り攻撃)を受け、誰かに知られてしまうことになります。

そこで、一部の企業ではすでに導入されていますが、パスワードを作成する際に、パスワードの要件や複雑さを確認できるようにしています。そして、「パスワードの強弱」を示すインジケーターが表示され、要件を満たしていないパスワードは受け付けないようになっています。これだけでも、すでにセキュア・バイ・デザインでパスワードを作成していることになります。なぜなら、最初の段階で安全なパスワードの作成方法をユーザに訓練しているからです。

さらに、パスワードを入力する際に、3回または4回以上間違えるとアカウントがロックされるサイトもあります。これにより、サイトに対するブルートフォース攻撃を防ぐことができます。たった3回の総当たり攻撃ではまず成功しないからです。

これらが、特にウェブサービスに関してこの種の攻撃を減らすための工夫です。もちろん、パスワードを無限に入力し続けることを許してしまうと、攻撃はなくなりません。しかし、少なくとも時間の経過とともに、この点は改善されつつあります。

パスワードに関して気付いたことですが、自分のパスワードを間違えて入力したときに、応答が返ってくるまでの時間が、正しく入力した場合よりも少し長くかかることがあります。これは誰かが意図的にハードルを上げて、時間をかけさせているのでしょうか?

その通りです。そのような機能を備えた製品もあります。たとえば、エフセキュアのパスワード管理機能を備えた製品についてお話しします。マスターパスワードを間違えれば間違えるほど、ログインして再試行できるようになるまでの時間が長くなります。これもセキュリティ機能の1つです。

それは優れものですね。

はい。ところで、セキュリティのコストを上げることで、いくつかの問題を回避するのに役立つもう1つの事例がHTTPSに関するものです。最近の有線や無線での通信を暗号化して、インターネットカフェなどで通信を傍受する攻撃ベクターを排除するといったシンプルな方法です。

インターネットカフェに行けば、誰かがFacebookアカウントとHTTPでログインしている時に、その人のユーザー名とパスワードをプレーンテキストで見ることができました。その頃、私は既に社会人だったのですが、今日ではHTTPSが広範に適用されこのような機能を使ったスニッフィングは、100%ではなくとも、ほぼ根絶されました。

モバイルプラットフォームは、従来の技術よりもセキュア・バイ・デザイン性が高いように思えるのは私だけでしょうか? 私だけの印象ですか、それとも事実ですか?

あなただけの印象ではありません。モバイルプラットフォームも、デスクトッププラットフォームで起きたことから学んでいるのです。このことが、私たちは学ぶことができるという希望を与えてくれます。

モバイルは向上しているのですね。

向上しています。過去に起きたことから学び、それを利用してより安全なOSモデルの構築が薦められています。

たとえば、モバイルプラットフォームにはデフォルトでサンドボックス技術が導入されています。これは、アプリケーションは独自のサンドボックスで実行され、他のサンドボックス内にある他のアプリケーションには直接影響を与えません。

電話帳や、電話をかけるためのアプリがあるとします。このアプリは電話帳にアクセスできますが、端末にインストールされている、トロイの木馬に乗っ取られた可能性がある他のアプリは、重要な連絡先にはアクセスすることはできません。

AndroidやiOSが他のOSよりも安全で悪用されにくいことを示す証拠として、エクスプロイト取得プラットフォームのZerodiumの例があります。Zerodiumが取得した脆弱性に対する報奨金をデスクトップ向けとモバイル向けの金額で比較すると、そのプラットフォームを悪用することの難易度に比例していることがわかります。たとえば、デスクトップでの支払い額は100万ドルです。一方で、モバイルでの支払い額は250万ドルにも達しています。

わかりました。では、本音を聞かせてください。セキュリティ技術を開発し、優れたセキュリティ対策をすることが当たり前になる日が来ると思いますか?皆がそうする日は来ますか?データ漏洩や攻撃が絶えないこの時代を、「昔はひどかった。コンピュータの西部開拓時代だった。」として振り返ったり、「信じられないかもしれないが最初はこんなに悲惨だった。」と話せる日が来るでしょうか?

 

私がこの業界に身を置いて20年近く経ちますが、実際に改善が見られます。私が生きているうちに、すべてのものがセキュア・バイ・デザインになるかはわかりません。おそらく夢のままでしょう。

しかし、たとえば2000年代初頭に、レッドアラート(Aレベル)と呼ばれるネットワークワームが一日おきに蔓延しました。常に何らかのネットワーク脆弱性が存在していたのです。リモートでコードを実行できるこれらのネットワーク脆弱性ともなれば、世界中に野火のように広がっていきます。そして、2017年にWannaCryが登場するまでに、このような事態は終息していきました。

私の経験では、一部の大変困難なセキュリティ問題は過去のものになりました。しかし、サプライチェーン攻撃のように、広範囲に組織や個人に広がるものもあり、これもまた非常に難しい問題になっています。

私たちは今日のセキュリティ問題を解決することに秀でており、最善を尽くそうとしています。もちろん私は人間の善意を信じています。セキュリティに関する私たちの思考と実行を全く新しいレベルに引き上げるために最善を尽くそうとしています。しかし同時に、新しい機能を導入することによって、脅威に対して新たなプラットフォームを提供してしまうことを予測できない場合もあります。

私が期待しているのは、技術を導入するのにかかる時間と、その技術の安全性を適切に確保するまでの時間を比較して、脅威が付け込む時間を少しでも短くすることができれば、脅威アクターが活動するのは難しくなり、コストも高くなるということです。

非常に簡単な例は、脆弱性へのパッチ適用です。私は、何十万台ものワークステーションを所有する組織が、今日パッチがリリースされたからといって、明日までにすべての機器に適用することを期待しているわけではありません。しかし、パッチ適用までの時間をできるだけ短くすることができれば、攻撃者にとって攻撃できる時間帯はますます狭くなります。私が生きている間に、このウィンドウが限りなく短くなっていくことを願っています。

まったく同感です。心が引き締まるような思いを胸に、今日のエピソードを締めくくりたいと思います。今日は参加いただきありがとうございました。心から感謝します。

お招きいただき、ありがとうございました。

それでは今日のポッドキャストを終わります。お楽しみ頂けましたら幸いです。

F-Secure Japan

15.11.21 26 min. read

カテゴリ

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。