サプライチェーンにおけるサイバーリスク (リチャード・ワイルディングとともに)

00:00:07 新型コロナウイルス流行中におけるサプライチェーンのサイバーリスクのテーマの紹介.
00:00:36 サプライチェーン戦略の教授としてのリチャード・ワイルディングの経歴と、サプライチェーンリスク管理の分野での彼の活動.
00:03:24 ソフトウェア開発におけるサイバーリスクの検知と予防の課題の概要.
00:06:06 サプライチェーンにおけるサイバー攻撃の防止責任者を特定する際の困難さ.
00:07:44 セキュリティ問題解決におけるユーザー教育の重要性と、設計時のセキュリティに対する特定のアプローチの必要性.
00:08:00 人間の行動に依存するセキュリティに関する議論.
00:09:04 Googleなどの企業が取る直感に反するセキュリティ方針.
00:09:57 セキュリティにおける自身の責任を認識する人々.
00:13:06 セキュリティが厳しすぎる場合に自分のデバイスを持ち込む人々.
00:15:04 GDPRと必要なデータのみを保持することの重要性.
00:16:00 コロナウイルスによる在宅勤務の現状と、それに伴い生じたリスクについての議論.
00:17:01 個人デバイスのセキュリティと、企業が従業員に対して安全な在宅勤務の教育を行う必要性に関する議論.
00:18:58 従業員の誤った判断から企業を守るための、ジョアネスのアドバイス.
00:19:31 ITセキュリティを向上させるために「white hats」（正当なハッカー）を活用する重要性.
23:44 サイバーセキュリティとの絶え間ない戦いに関する最終的な考察と、善良な側が先手を打ち続ける必要性.

要約

キアラン・チャンドラー、ジョアネス・ヴェルモレル、リチャード・ワイルディングのインタビューは、サプライチェーンにおけるサイバーリスクを中心に展開されます。ヴェルモレルとワイルディングは、接続性の向上に伴いサプライチェーンがますます脆弱になっていることを強調し、より包括的なセキュリティアプローチの必要性を訴えています。彼らは利便性とセキュリティ間のトレードオフや、一部のセキュリティ対策が直感に反する性質、そしてリモートワークがサイバーセキュリティに与える影響について議論しています。この会話は、意識向上、white hats、および改善されたソフトウェアとハードウェアソリューションを含む、多面的なサイバーセキュリティ対策の重要性を強調しています。ヴェルモレルとワイルディングは、サイバー脅威との戦いが継続していること、そして個人や企業が警戒を怠らず適応し続ける必要があると強調しています.

詳細な要約

インタビューの司会者であるキアラン・チャンドラーは、サプライチェーン最適化ソフトウェア会社Lokadの創設者ジョアネス・ヴェルモレルと、英国クランフィールド・スクール・オブ・マネジメントの物流・サプライチェーン管理センターにおけるサプライチェーン戦略のチェア（フルプロフェッサー）でありサプライチェーンイノベーターであるリチャード・ワイルディングの二人のゲストを紹介します。議論のテーマは、サプライチェーンにおけるサイバーリスクです.

リチャード・ワイルディングは、自身が業界でキャリアをスタートさせた後、偶然にも学界に足を踏み入れた経緯について概要を述べます。1990年代初頭から供給チェーンの混乱に対処してきた経験を持ち、次第にサプライチェーン戦略の教授へと進化しました。彼の目標は「知識を行動に変える」ことであり、サプライチェーンリーダーに挑戦と刺激を与え、経済的、社会的、または環境的な価値を創造するためのイノベーションを促すことです。クランフィールド大学は、サプライチェーンリーダーが自らの事業で価値を創造しイノベーションを実現できるよう支援することに重点を置いています.

ジョアネス・ヴェルモレルは、サイバーリスクとそれがサプライチェーンに与える影響について語ります。彼はこれを非常に直感に反し、捉えにくいテーマと表現しており、従来のテスト手法や開発プロセスではセキュリティ懸念に十分に対処できないと指摘します。また、過去数十年にわたりエンタープライズソフトウェアの進化が攻撃可能な表面領域を拡大し、ソフトウェアがサイバー攻撃に対してより露出しやすくなったことにも触れています。クラウド環境への移行はセキュリティを向上させる可能性がある一方で、潜在的な攻撃者にとっての侵入経路も増加させます.

リチャード・ワイルディングは、供給業者と顧客間の開放性や接続性への欲求が、サプライチェーンのセキュリティ確保を難しくしていると論じます。この開放性はサイバー攻撃のための多くの侵入経路を生み出し、企業に壊滅的な影響を及ぼす可能性があります。潜在的な混乱の例として、ウェブサイトへのサービス拒否攻撃、倉庫管理システムの中断、自律走行車への干渉などが挙げられます。ワイルディングは、サイバー攻撃が個々のウェブサイトやアプリケーションではなくサプライチェーンを標的にすると、その深刻度が増すと強調しています.

このインタビューは、サプライチェーンにおけるサイバーリスクの重要性が増す一方で、企業がセキュリティ問題に対処する上で直面している課題を浮き彫りにしています。両ゲストは、この分野でのイノベーションの必要性と、従来のサプライチェーンセキュリティ手法を再考する重要性を強調しています。しかし、議論は未完のままであり、今後も会話が続くことが期待されます.

この会話は、接続性の向上によりサプライチェーンが一層脆弱になっている現状、特にサイバー攻撃の観点からその点を強調しています.

リチャードは、近年サプライチェーンへのサイバー攻撃が増加していることを強調し、セキュリティ確保は全ての人の責任であると述べています。関係者全員へのリスク教育が不可欠であると主張する一方で、ジョアネスはユーザー教育のみに頼るのは不十分だと考え、「designによる正確性」を提唱します。つまり、システムにセキュリティ対策を組み込むことで、人為的ミスの可能性を低減させるというものです.

その説明として、ジョアネスは「USB key on the parking lot attack」（駐車場に置かれたUSBキー攻撃）の例を挙げます。これは、マルウェアに感染したUSBキーが公共の場に放置され、人間の好奇心を突いてシステムを侵害するものです。彼はこれを、人々がミスを犯すことを前提にシステムを設計しているGoogleのような企業のセキュリティアプローチと対比させています.

リチャードは、designによる正確性が重要であると同意しつつも、多くのサイバーセキュリティ侵害において依然として人為的ミスが大きな要因であると主張します。彼は、フィッシングメールを介してサプライヤーが攻撃された結果発生したTargetのデータ侵害などの例を挙げ、この事件が企業に数百万の損害をもたらしたことから、意識向上とシステム設計の双方がサプライチェーンのセキュリティ確保において重要であることを示しています.

ジョアネスとリチャードの両者は、サプライチェーンのセキュリティ向上には、ユーザー教育、意識向上、そしてシステム設計の組み合わせが必要であると認識しています。イノベーションのための開放性とシステムの厳格なロックダウンのバランスを取ることは、企業が情報や資産の安全を確保する上で乗り越えるべき課題です.

この会話は、アクセスのしやすさとセキュリティとのバランス、一部のセキュリティ対策が直感に反する性質、そしてコロナウイルスパンデミックによるリモートワークの影響について論じています.

議論では、セキュリティ対策が時として裏目に出て予期せぬ結果を招く可能性があることが浮き彫りにされています。例えば、企業がノートパソコンに厳格なセキュリティ対策を実施すると、従業員が自前のデバイスを持ち込んでしまい、結果的にセキュリティリスクを増大させる場合があります。同様に、頻繁なパスワード変更が従業員にパスワードを書き留めさせ、脆弱性を高める原因にもなります。ヴェルモレルは、こうした逆効果を避けるために、人間の反応を十分に考慮することが不可欠であると述べています.

ワイルディングは、企業は必要なデータのみを保持し、GDPRなどの規制に従うべきだと述べ、不要なリスクに晒されないようにすべきだと主張します。また、従業員へのパスワードセキュリティ教育の重要性を強調し、在宅勤務が一部でセキュリティ向上につながる可能性がある一方、個人用ルーターやデバイスといった新たなリスクももたらすと指摘しています.

ヴェルモレルは、マルウェアを伝播する偽造USBケーブルなどの新たな脅威を例に挙げ、セキュリティ侵害を防ぐ主要な解決策としての教育に懐疑的な見解を示しています。この議論は、人間の行動を踏まえつつ、アクセスのしやすさと保護のバランスを図る、より包括的なサプライチェーンセキュリティのアプローチの必要性を強調しています.

この会話は、ますます巧妙化するサイバー脅威に対処する上で、企業や個人が直面している課題を浮き彫りにしています.

ヴェルモレルは、一見無害に見えるケーブルにもシステムを侵害する可能性のあるマイクロコンピュータが内蔵されている例を紹介します。彼は、サイバー攻撃を防ぐために人々を訓練するだけでは効果が限定的であると懐疑的であり、脅威が多様で絶えず進化している現状を指摘します。代わりに、企業のシステムの脆弱性を特定するためにwhite hatハッカーを雇用することが、ITセキュリティ向上のより効果的なアプローチになり得ると提案しています.

ワイルディングは、white hatハッカーの雇用の重要性に同意し、自身が企業の取締役会でセキュリティ対策をテストするためにハッカーを雇った経験を述べています。また、サイバー脅威が絶えず変化する性質から定期的な評価の必要性も強調しています。彼は、疑わしい活動を検出し警告する先進的なソフトウェアの存在を認める一方、侵害されたUSBスティックのようなハードウェアの脆弱性が依然として重大なリスクであると指摘しています.

インタビュー参加者は、利便性とセキュリティの間のトレードオフについて議論し、ワイルディングは大規模攻撃の可能性を制限するためのガイドラインとファイアウォールの確立の重要性を指摘します。さらに、サイバーセキュリティの未来に対して楽観的な見通しを示し、これは絶え間ない改善を伴う「継続的な戦い」であると認識しています。ワイルディングは、現代のWindowsノートパソコンに内蔵されたウイルス対策をその一例として挙げるとともに、常に意識を高め警戒を続ける必要性を強調しています.

ヴェルモレルとワイルディングの両者は、意識向上、white hatハッカー、そして改善されたソフトウェアおよびハードウェアソリューションを含む多面的なサイバーセキュリティ対策の重要性を強調しています。彼らは、サイバー脅威との戦いが継続していることを認識し、個人と企業が警戒を怠らず柔軟に対応し続ける必要があると訴えています.

完全な書き起こし

Kieran Chandler: 今日のLokadTVでは、リチャード・ワイルディング教授をお迎えし、サプライチェーンにおけるサイバーリスクについて議論することを大変嬉しく思います。では、リチャード、英国からのライブ参加、本当にありがとうございます。まずは、あなた自身とクランフィールドでのご活動について少しお聞かせいただけますか。

Richard Wilding: では、私の経歴ですが、元々は業界でキャリアを始め、その後偶然にも学界に足を踏み入れました。一度学界に入ると抜け出すことはできませんでした。基本的には、1990年代初頭からサプライチェーンにおける混乱に注目してきたキャリアを歩んできました。当時経験していた事象は現在とは大きく異なります。2000年代には、9/11、火山灰、燃料危機、そして口蹄疫など、サプライチェーンのリスクや耐性に影響を与える出来事がありました。私はおそらく世界で最初のサプライチェーンリスク管理の教授の一人となりましたが、その役割も進化し、現在はクランフィールドでサプライチェーン戦略の教授を務めています。私の目標は「知識を行動に変える」ことであり、この知識を産業界で具体的なアクションに変えることに情熱を注いでいます。英国の物流・輸送協会の直近の会長も務め、商品や人々の移動からそれに関わるすべてのサプライチェーンを網羅しています。私の焦点は、サプライチェーンリーダーに挑戦と刺激を与え、イノベーションを促すことにあります。本日のリスナーの皆さんが、いくつかのアイデアを持ち帰り、経済的、社会的、または環境的な価値を創造するためのイノベーションについて考えるきっかけとなれば幸いです。これこそがクランフィールドの本質であり、知識をサプライチェーンリーダーに届け、彼らが自らのサプライチェーンや事業で価値を創造できるよう支援することなのです.

Kieran Chandler: 素晴らしい紹介ですね。私たちLokadTVではイノベーションの考え方に大いに共感しています。ジョアネス、今日のテーマはサイバーリスクとそれが我々のサプライチェーンに与える影響についてです。最初のご意見をお聞かせいただけますか.

Joannes Vermorel: サイバーリスクとは、実際には非常に直感に反するもので、例えばソフトウェアのセキュリティ問題を検出するのは非常に困難です。通常のテスト手法の多くは機能せず、一般的な開発手法のほとんどがその懸念に対処できていません。本当に捉えにくいテーマです。過去10年間で私の関心をますます引きつけたのは、エンタープライズソフトウェアが一般的に要する期間の大部分が…

Kieran Chandler: 過去数十年にわたり、ソフトウェアの攻撃可能な表面領域、いわゆる「surface attack area」が増加しているのが感じられます。特にクラウド環境に移行すると、ソフトウェアはより多くの攻撃に曝されやすくなります。クラウド環境はセキュリティ面では向上するものの、侵入経路も増えるのです。また、ウェブアプリケーションの場合、設計上、潜在的なセキュリティ問題に対して緩和や予防が非常に困難なリスク群が存在します.

Joannes Vermorel: キアラン、テスト手法が十分に機能しないとおっしゃいましたが、リチャード、供給チェーンの観点から見ると、サプライチェーンがこれほどセキュリティ確保しにくい理由は何でしょうか?

Richard Wilding: サプライチェーンの視点からは、物事を比較的オープンにしたいと考えています。サプライヤーや顧客とつながることは望ましいですが、それは実際には多くの侵入口を生み出します。しばしば、サプライチェーンでの攻撃が発生しているのです。もし企業を停止させたい場合、ウェブサイトへのサービス拒否（DoS）攻撃は壊滅的ですが、倉庫管理システムや自律走行車両の混乱による被害を考えれば、事業継続や再生の能力に対してはるかに大きな打撃となり得ます。実際、例えばサプライヤーポータルを通じた攻撃が確認されており、そこから人々がデータにアクセスしたり、大口顧客に情報を提供したりすることで、侵入口が作られてしまいます。フィッシング攻撃のような単純な手法でも、問題を引き起こす可能性があります。

複数の脆弱性が存在しており、サプライチェーンへのサイバー攻撃が急増しているため、ここ18ヶ月ほどこの話を続けてきました。非常に興味深いのは、これを防ぐ責任が誰にあるかという点です。問題は、サプライチェーンチームに問い合わせるとITチームの仕事だと言われ、ITチームに問い合わせるとサプライチェーンの仕事だと言われることです。結局、全員の責任であるため、誰もがこのような事態を防ぐための意識を持つ必要があります。ビジネス側の教育とこうした課題の認識を高めることが極めて重要です。

Kieran Chandler: リチャードは、サプライチェーンが確実により接続されてきていると述べました。どの多国籍企業を見ても、現在ではシステムが世界中に広がっています。接続性の向上は実際の弱点だと言えるのでしょうか？

Joannes Vermorel: はい、まさに私が「攻撃面の拡大」と言ったときの意味です。第三者にさらされるものが増えれば増えるほど、それだけ脆弱性が高まります。インターネット上では、個人同士が直接接続するわけではなく、ウェブポータルが存在し、ポート80を通じてHTTPで対話するソフトウェアが機能します。それは相手側にあっても常に機械であり、その機械は人間によって操作される場合も、あなたがその人物だと思っている従業員によって操作される場合もあります。

Kieran Chandler: というわけで、ありがとうございます。ただ、どこで少し話がずれてしまうとお考えですか？もしくは、セキュリティや解釈の面で意見の相違が生じる点はどこだと思いますか？

Joannes Vermorel: 全体として、ユーザーの教育だけでセキュリティの問題は解決できないと考えています。そのため、セキュリティは非常に厳格に設計されるべきです。正しい設計（correctness by design）という特定のアプローチが必要です。人々が添付ファイルをクリックしないで済むとは期待できません。災害まで一歩のところでルールを守ると期待すれば、実際にはその通りに動いてしまいます。例えば「駐車場で落とすUSBキー攻撃」という単純な攻撃があります。マルウェアが入ったUSBキーを駐車場に落とし、「Bitcoin stash」と書いておけば、必ず誰かがそのキーをコンピューターに接続して試すのです。人々が教育されていると期待しても、彼らは結局人間であり、どんなに賢くても睡眠不足や一時的な判断ミスが起こるものです。そう考えると、賢明で警戒心があり教育されていると頼るのはうまくいかないのです。ちなみに、Googleのような企業では、逆の立場、つまり人々が愚かであると前提に置いたアプローチを取っています。原子力産業など他の分野で採用されているこの方法は、もし人々が非常に愚かな行動をとると予測すれば、更に悪い結果に繋がるかもしれないという考え方に基づいています。しかし、これと似た設計上の考え方は他にも多く存在します。

Kieran Chandler: さて、ジョアネスは正しい設計による安全性の考え方を述べましたね、リチャード。では、システムを非常に安全に保つために導入できる方法は何でしょうか？

Richard Wilding: 非常に興味深い問題だと思いますし、正しい設計による安全性は絶対に必要だと考えています。それは疑いの余地がありません。しかし、多くの問題の原因として80対20の法則を見ると、残念ながら原因は「人間」にあります。興味深い点として、Googleオーストラリアが、自分たちがハッキングできることを示すためだけにハクティビストにハッキングされた事例があります。そのアクセス方法は、実際にはGoogleのオーストラリア新築ビルのビル管理システムを通じて行われたのです。ビルがハッキングされました。米国のTargetのような大規模事例を見ると、クラスアクションなどが現在も続いていますが、非常に興味深い事例です。4,000万件の支払いカード情報と7,000万件の顧客記録が収集され、その方法は暖房・換気空調制御システムを通じて行われました。サプライヤーがフィッシングメールで狙われ、その結果、ビジネスの該当部門に侵入し、販売時点情報管理ネットワークを把握して情報を収集したのです。

Kieran Chandler: これは非常に重要です。というのも、これまでに信じられないかもしれませんが、1億6200万ドルのコストが発生しているからです。これは特定の混乱の一例ですが、ここでの重要な点は、人々にこれらの事象や自分たちの責任を実際に認識させることにあります。そして、設計面のアプローチも必要です。問題は、ある程度のオープン性が求められるということです。

Richard Wilding: そうですね。私のラップトップのことを考えると、大学がそれをロックダウンして何もできなくするのは全然楽しくありません。数年前、企業内で「これはコーポレートです。誰もLinkedInにもYouTubeにもアクセスできない」といった状況がありました。しかし問題は、イノベーションに帰着します。イノベーションとは新しいアイデアを取り入れて価値を創出することです。システムを急にロックダウンしてしまえば、本来アクセスすべきでないものへアクセスを防ぐことができるかもしれませんが、同時にインフラを弱体化させ、別の影響を及ぼす可能性があります。大規模な「社内ソーシャルメディアのブラックアウト」を実施すると、結果的にイノベーションのブラックアウトにも繋がる、とも言えます。なぜなら、多くのイノベーションや良いアイデアは、これらのチャネルを通じて共有されているからです。そのため、アクセス性とセキュリティのバランスをとりつつ、設計上、問題が発生した場合にすぐに検知できるようにする必要があります。

Kieran Chandler: さて、ジョアネス、何か補足はありますか？

Joannes Vermorel: そうですね、例を挙げると、私が直感に反すると言ったのは、ロックダウンの考え方自体がその典型例だと思うからです。会社が承認したソフトウェアしかインストールできず、指定されたウェブサイトのみアクセス可能という非常に厳重なセキュリティをラップトップに適用した場合、実際にはどうなるでしょうか？ 人々は自分のデバイスを持ち込み、自らラップトップを購入します。理論上はセキュリティが確保されていると思っても、実際には人々が別の方法で対応するため、結果としてセキュリティが破綻するのです。同様に、パスワードについても、例えば米国NSAが発表した研究では、頻繁なパスワード変更は逆効果であると示されています。頻繁にパスワードを変更すると、人々はその週のパスワードを付箋に書いて机に貼るようになり、オフィス全体で全員のパスワードが付箋として晒されてしまうのです。

そのため、これは非常に直感に反すると言えますし、単なるバランスの問題だけではありません。むしろ、時には人々をより危険な行動に駆り立ててしまうこともあります。再び、原子力産業の事例はこれを示しています。もし人々に過剰な防護装備を着用させると、夏のある時期にはあまりに暑くなり、結局、装備を全て外してしまう結果、何の防護も受けなくなってしまうのです。これが非常に愚かな結果を招くのです。だからこそ、セキュリティは非常に複雑であり、人間の反応を考慮しなければならず、まるで再帰的なフィードバックループのようになっているのです。

Kieran Chandler: 考えてみてください。ある種のデータは、たとえ一週間程度であっても、収集すべきでなく、速やかに削除されるべきだと思います。

Richard Wilding: Targetの興味深い点は、彼らがデータを保存していたのではなく、単にシステムを通過させていただけだったということです。クレジットカードの取引は、インターネットを通じて銀行に送られる必要があります。そのフィードを常に監視できれば、このような攻撃が可能になるのです。しかし、GDPRやデータ保護を考えると、本当に必要なデータだけを保持することが重要です。大量のデータを保有する意味は何でしょうか？ 一部の企業は、将来何か有用なことができるかもしれないと考え、人工知能を活用してこのデータを全て保持すべきだと主張します。しかし、それはまるで私が人生で書いたすべてのメールを保管しておくのと同じようなものです。将来的に何か役立つでしょうか？この点について、じっくり考える必要があります。

パスワードについて話すときに好きな小さな引用があります。「パスワードは下着のようなもの。見られたくなく、頻繁に変更し、他人と共有すべきではない。」しかし同時に、それらを記憶できるようにする必要があるため、別の方法も検討すべきなのです。

Kieran Chandler: リチャード、コロナウイルスの影響で在宅勤務が増えている現在の状況について話しましょう。おそらく、これによりリスクが大幅に増えているはずです。企業、あるいはこの映像をご覧の方は、自分たちを守るために何ができるのでしょうか？

Richard Wilding: 在宅勤務では、もし私の机にパスワードが散乱していなければ、人の出入りが少ないため、ある程度はより安全になると言えるでしょう。つまり、在宅勤務には安全性を高める要素がいくつかあるのです。しかし同時に、各自のデバイスが使用されるようになり、これは先ほども触れた通り対処すべき問題です。また、個人所有のルーター、インターネット接続、Wi-Fiネットワークなどを使用している点も無視できません。では、それらはどれほど安全なのでしょうか？企業は従業員に対して在宅勤務についての教育を始め、Cyber Essentialsのようなリソースを活用して、何をすべきかの指針を提供する必要があると思います。

Kieran Chandler: ジョアネス、この映像をご覧の方へのアドバイスはありますか？ あなたの経験から、私のようなスタッフが誤った判断を下すことを防ぐために、どのように企業を守るべきでしょうか？

Joannes Vermorel: 私は基本的に教育だけに頼る方法は信じていません。現代に見られる新たな脅威の一例を挙げると、Amazonには大量の偽物が出回っているという現状がありますし、その他にもいろいろな問題が存在します。

Kieran Chandler: では、リチャード、あなたから始めましょう。特にパンデミックの状況下で在宅勤務への移行が進む中、在宅勤務環境におけるITセキュリティで最も懸念している点は何ですか？

Richard Wilding: 在宅勤務に関しては、ITセキュリティ全般に多くの懸念が存在します。一見、基本的な懸念であるものが実は非常に重要であることに気付かないかもしれません。例えば、私たちが日常的に使用するUSBケーブルのような基本的なものでも、実際にはマルウェアをコンピュータに伝播させる可能性があります。コンピュータ技術の進歩により、今では通常のケーブルに見える中に20年前のコンピュータ並みの性能を持つマイクロコンピュータが内蔵されている場合もあり、たとえ信頼できるブランドのものであっても、それが偽物である可能性があります。Amazonでもこのような問題が報告されています。

Joannes Vermorel: それに付け加えるなら、キアラン、ITセキュリティに関しては、単なるトレーニングだけで問題が解決するとは非常に疑問です。問題はあまりにも蔓延して多様であり、人々が常に期待通りの行動をとるとは限りません。しかし、在宅勤務には、意外にも一つの利点があります。それは、在宅勤務自体がより受け入れられやすくなるという点です。私の経験では、ITセキュリティを改善する最も効果的な方法は、ホワイトハット、すなわち企業のセキュリティの脆弱性をリモートで発見するためのハッカーを活用することです。不思議なことに、セキュリティという分野は非常に奇妙で、人々がある行動をとると期待しても、実際にはそうならない可能性が十分にあります。例えば、誰かがテックサポートを装ってあなたに電話をかけ、コンピュータへのアクセスを求めることが起こり得ます。

Richard Wilding: はい、ジョアネス、全く同感です。実際、私が取締役会で果たしている役割においても、そのような人材、通常は刑務所に服役した元ハッカーを雇い、企業のセキュリティの脆弱性を見つける業務を依頼しています。攻撃手法は常に進化しているため、定期的な対策が必要です。また、攻撃が発生したときの対処法を人々が理解することも重要です。ファイルの変更やコードの書き換えを検知できる高度なソフトウェアも存在しますが、ハードウェア面での対策も考慮する必要があります。例えば、私が勤務しているCranfieldの軍事キャンパスのような場所では、USBスティックの持ち込みが禁止されています。

Kieran Chandler: それは非常に興味深いですね。では、リチャード、現在サイバー攻撃を検知するために使用されているソフトウェアのアプローチについて、もう少し詳しく教えていただけますか？

Richard Wilding: はい、今ではファイルが変更されたりコードの一部が書き換えられたりするのを検出できる、より洗練されたソフトウェアの手法があります。それらはこれらの変更についてアラートを発し、攻撃が起こる前に防ぐ手助けをしてくれます。しかし、前述したように、ハードウェア面の対策も考える必要があります。USBメモリやケーブルなど、基本的なものに関してガイドラインを設け、定期的にホワイトハットを雇ってセキュリティの脆弱性を発見する必要があります。

Kieran Chandler: というわけで、ジョアンネス、リチャード、サイバーセキュリティに関連する脆弱性とリスクについて多く話してきましたが、私たち自身を守るための方法にはどんなものがあるでしょうか？

Joannes Vermorel: ええ、まず第一に理解すべきは、サイバーセキュリティが絶対的なものではないということです。それはセキュリティと利便性の間のトレードオフです。たとえば、とても安全なシステムであれば使い勝手が非常に悪くなる可能性があり、逆に非常に便利なシステムであればそれほど安全でないかもしれません。ですから、その二つの間でバランスを取る必要があります。

Richard Wilding: はい、そしてもう一つ重要な点は、システム内部で何が起こっているのかを制限するために、何らかのファイアウォールを設置する必要があるということです。大規模な攻撃は望んでいませんから、マルウェアの展開を検出し阻止できるようにしなければなりません。

Kieran Chandler: それは良い指摘ですね。では、しばらく良い面に焦点を当てましょう。サイバーセキュリティは過去数十年で大きく進歩してきました。今後も改善が続き、いつか私たちはこれまで以上に安全になると思いますか？

Richard Wilding: 正直に言うと、これは絶えず続く戦いだと思います。サイバーセキュリティは常に変化し続ける絶え間ないゲームです。しかし、状況は改善しているとも思います。たとえば、今日Windowsラップトップを購入すれば、Windows 10が搭載されており、そこには十分と言えるウイルス保護機能が標準で付いています。つまり、サイバーセキュリティが製品の一部となりつつあるのを見ることができます。

Joannes Vermorel: はい、しかし私たちは皆に対して認識を広める必要もあります。USBメモリやケーブルでさえ、大混乱を引き起こす可能性があることを人々は知るべきです。それが今起こっている事態の本質です。しかし、もし人々がこれを認識すれば、そういった行動を取る前にもう一度考えるかもしれません。

Kieran Chandler: つまり、認識の向上と、マルウェアが展開されるのを検出し阻止できるシステムの整備が必要なのです。さて、ここで締めくくりたいと思います。両者の皆さん、貴重なお時間をありがとうございました。今週はこれで全てです。ご視聴いただき誠にありがとうございました。それでは次回のエピソードでお会いしましょう。ご視聴ありがとうございました。