─「サイバーグリッド構想」では、トレーニングに加え、各サイバーアリーナを連携させ、情報の収集・発信を行うという。その狙いとは?
ハソン:重要なのは敵を知ること。攻撃の動機、それは個人情報やIP(知的財産)の獲得、システムに損害を与えて会社の評判を傷つける、などさまざまだ。
サイバー攻撃から自社のシステムや資産を守るソリューションは多数あるが、それは何もテクノロジーには限らない。実際、サイバー攻撃による被害の原因は95%以上が人的要因による。WannaCry(ワナクライ)やPETYA(ペトヤ)の例では、企業側が使っていたサイバー攻撃対策のテクノロジー自体に問題はなかった。担当者の対応が間違っていたわけでもない。
だが組織として対応する用意ができておらず、損害が大きくなった。攻撃を認識したときに取締役会でどのように意思決定するか、メディア対応をどうするかなど、準備が必要だ。ボクシングのように、日々のトレーニングやスパーリングは欠かせない。テクノロジーはサイバー攻撃の重要な一部だが、全部ではない。
─ハッカーは相手をどう攻撃するのか。
ハソン:ハッカーが企業をサイバー攻撃しようと思ったら、まずは企業の調査や、SNSを通じて意思決定者や技術者の略歴と特徴を調べるだろう。まず、彼らが何をしているかを学ぶことから始める。テクノロジーは調査した内容に基づき、攻撃する際の手段でしかない。
最初の重要なステップはテクノロジーではなく、人的要因。つまり、ファイアーウォールをハッキングすることではなく、ターゲットを取り巻く“ソーシャルエンジニアリング”なのだ。
─具体的に取るべき対策とは?
ハソン:ふつうの人には、ハッカーの思考回路は理解できない。ただ彼らの考え方に従って訓練を積むことは可能だ。
顧客はトレーニングを通じて、ハッカーが次に何を仕掛けてくるかを予測できるようになる。我々の顧客は、ワナクライやペトヤなどのサイバー攻撃では被害を受けていない。すべて組織として防御できている。
私たちはサイバー攻撃の発生後、72時間以内に実際のコードを解析し、トレーニングメニューを用意する。だから顧客は何をすべきか分かるのだ。
─サイバーグリッド構想は、それを世界レベルに広げたものなのか。
ハソン:サイバーグリッドを通じて世界中のタイムゾーンでの情報アクセスを可能にすることで、レスポンス時間の短縮に努めている。そのため、日本にもトレーニング施設を開設する予定だ。イスラエルの経験を生かし、日本市場に我々のソリューションを提供する。
損害の要因となる人的要因を最小化するためには、人材のトレーニングが最も効果的だ。ROI(投資利益率)を考えても、サイバー攻撃による実際の被害への対応をしたり、防御プロダクトを導入することのみで準備したりするより、人材を訓練した方が投資効率はよい。
最近、ニュアンスという会社がサイバー攻撃で、1億500万ドルの被害を受けた。我々のトレーニングはそんなにはかからない。トレーニングはコストではなく、投資と考えるべきなのだ。
オフィール・ハソン◎イスラエルのサイバーセキュリティ企業「CyberGym」の共同創業者兼CEO。イスラエル国防軍のサイバー攻撃・防御の精鋭部隊である8200部隊出身。イスラエル政府NISA(National InformationSecurity Authority)で経験を積みサイバーセキュリティ関連の会社を2度起業した後、2013年にイスラエル電力公社とCyberGymを創業した。
