00:00:07 新型コロナウイルスの流行中におけるサプライチェーンにおけるサイバーリスクのトピックの紹介。
00:00:36 サプライチェーン戦略の教授であり、サプライチェーンリスク管理の分野での業績を持つリチャード・ワイルディング氏の経歴について。
00:03:24 ソフトウェア開発におけるサイバーリスクの検出と予防の課題の概要。
00:06:06 サプライチェーンにおけるサイバー攻撃の予防を担当する責任者の特定の困難さ。
00:07:44 セキュリティの問題を解決するためのユーザー教育の重要性と設計におけるセキュリティへの特別なアプローチの必要性について。
00:08:00 人間の行動に頼るセキュリティに関する議論。
00:09:04 Googleなどの企業がセキュリティに対して取る逆説的な立場。
00:09:57 人々がセキュリティにおける自分の責任を認識することの重要性。
00:13:06 セキュリティが厳しすぎる場合に自分のデバイスを持ち込む人々。
00:15:04 GDPRと必要なデータのみを保持する重要性。
00:16:00 新型コロナウイルスのために自宅で働く人々の現状と導入されたリスクに関する議論。
00:17:01 個人デバイスのセキュリティと企業が従業員に安全な在宅勤務について教育する必要性に関する議論。
00:18:58 スタッフの誤った判断から会社を保護するためのジョアネスのアドバイス。
00:19:31 ITセキュリティを向上させるために「ホワイトハッカー」(合法的なハッカー)を利用する重要性。
23:44 サイバーセキュリティの継続的な戦いと善戦する必要性に関する最終的な考え。
概要
キーラン・チャンドラー、ジョアネス・ヴェルモレル、リチャード・ワイルディングのインタビューは、サプライチェーンにおけるサイバーリスクを中心に展開されています。ヴェルモレルとワイルディングは、サプライチェーンの増加した接続性による脆弱性の増加を強調し、より包括的なセキュリティアプローチの必要性を強調しています。彼らは、利便性とセキュリティの間のトレードオフ、一部のセキュリティ対策の逆説的な性質、リモートワーキングがサイバーセキュリティに与える影響について議論しています。この会話では、意識、ホワイトハットハッカー、改善されたソフトウェアおよびハードウェアソリューションなど、サイバーセキュリティに対する多面的なアプローチの重要性が強調されています。ヴェルモレルとワイルディングの両氏は、サイバー脅威に対する戦いの継続性と個人や企業が警戒心を持ち、適応する必要性を強調しています。
詳細な概要
インタビューのホストであるキーラン・チャンドラーは、2人のゲスト、サプライチェーン最適化ソフトウェア企業Lokadの創設者であるジョアネス・ヴェルモレルと、イギリスのCranfield School of Managementのサプライチェーン戦略のチェア(フルプロフェッサー)であるリチャード・ワイルディングを紹介します。議論のトピックは、サプライチェーンにおけるサイバーリスクです。
リチャード・ワイルディングは、キャリアを産業界でスタートさせた後、偶然学界に入った経歴の概要を説明します。1990年代初頭からサプライチェーンの混乱に取り組んできた経験を持つ彼は、サプライチェーン戦略の教授に進化しました。彼の目標は、知識を行動に変え、サプライチェーンのリーダーにイノベーションと経済的、社会的、環境的な価値を創造することです。Cranfield大学の焦点は、サプライチェーンのリーダーがビジネスでイノベーションを起こし、価値を創造することを可能にすることです。
ジョアネス・ヴェルモレルは、サイバーリスクとそのサプライチェーンへの影響について取り上げます。彼はそれを直感に反するものであり、伝統的なテスト手法や開発プラクティスではセキュリティ上の懸念に対処できないと述べています。また、過去数十年にわたるエンタープライズソフトウェアの進化により、攻撃面積が増加し、ソフトウェアがサイバー攻撃により露出しやすくなったとも指摘しています。クラウド環境への移行はセキュリティを向上させる一方で、潜在的な攻撃者にとってはより多くの侵入経路を提供するとも言えます。
リチャード・ワイルディングは、サプライヤーと顧客の間のオープンさと接続性の欲求によるサプライチェーンのセキュリティ確保の難しさについて議論します。このオープンさにより、サイバー攻撃のための複数の侵入経路が生まれ、それはビジネスに壊滅的な影響を与える可能性があります。潜在的な混乱の例として、ウェブサイトへのサービス拒否攻撃、倉庫管理システムの中断、自動運転車両への干渉があります。ワイルディングは、サプライチェーンを標的とするサイバー攻撃の重大性が、個々のウェブサイトやアプリケーションを標的とする攻撃と比べて増加することを強調しています。
このインタビューは、サプライチェーンにおけるサイバーリスクの重要性と企業がセキュリティ上の懸念に直面する課題を強調しています。両ゲストは、この分野でのイノベーションの必要性と、サプライチェーンのセキュリティ確保のための伝統的な手法の見直しの重要性を強調しています。ただし、議論は不完全なままであり、今後の会話が続くことが予想されています。
この会話は、サイバー攻撃によるサプライチェーンの増加する脆弱性に焦点を当てています。
リチャードは、近年、サプライチェーンへのサイバー攻撃がより一般的になっており、セキュリティを確保するためには誰もが責任を持つべきだと強調しています。彼は、関係者全員に潜在的なリスクについて教育することが重要だと主張しています。しかし、ジョアネスは、ユーザー教育だけに頼ることは不十分だと考えています。代わりに、彼は「設計による正確さ」を提唱しており、セキュリティ対策をシステムに組み込んで人為的なミスの可能性を減らすべきだと主張しています。
彼のポイントを示すために、ジョアネスは「駐車場でのUSBキー攻撃」という例を共有しています。この攻撃では、マルウェアに感染したUSBキーが公共の場所に置かれ、人間の好奇心を利用してシステムを侵害します。彼はこれを、Googleなどの企業のセキュリティアプローチと対比しています。これらの企業は、人々がミスを comすることを前提とし、そのシステムを設計しています。
リチャードは、設計による正確さが重要であると同意しますが、サイバーセキュリティの侵害においては人為的なミスも依然として重要な要素であるとも主張しています。彼は、ターゲットのデータ侵害などの例を挙げています。この侵害は、フィッシングメールを通じたサプライヤーへの攻撃から起こったもので、会社に数百万ドルの損失をもたらし、サプライチェーンのセキュリティを確保するためには意識とシステム設計の両方が重要であることを示しています。
ジョアネスとリチャードの両者は、ユーザー教育、意識、システム設計の組み合わせがサプライチェーンのセキュリティ向上に必要であると合意しています。イノベーションのためのオープンさとシステムのロックダウンのバランスは、情報と資産の安全性を確保するために企業が航海しなければならない課題です。
この会話では、アクセシビリティとセキュリティのバランス、一部のセキュリティ対策の直感に反する性質、新型コロナウイルスパンデミックによるリモートワーキングの影響について取り上げています。
議論は、セキュリティ対策が時に逆効果になり、意図しない結果をもたらすことを強調しています。たとえば、企業がノートパソコンに厳格なセキュリティ対策を実施すると、従業員は自分自身のデバイスを持ち込むことで、意図せずにセキュリティリスクを作り出す可能性があります。同様に、頻繁なパスワードの変更は、従業員がパスワードを書き留めることで、より脆弱になる可能性があります。ヴェルモレルは、セキュリティ対策に対する人間の反応を考慮することが重要であると指摘しています。
ワイルディングは、企業は必要なデータのみを保持し、GDPRなどの規制に従うべきだと述べ、不必要なリスクにさらすことを避ける必要があると強調しています。彼は、従業員に対してパスワードのセキュリティについて教育することの重要性を強調し、リモートワーキングは一部の側面でセキュリティを向上させる一方で、個人用のルーターやデバイスなど新たなリスクをもたらす可能性もあると提案しています。
ヴェルモレルは、教育がセキュリティ侵害を防ぐための主要な解決策としては不十分だと懐疑的な意見を表明し、マルウェアを伝送する偽造USBケーブルなどの新興の脅威を引用しています。会話は、人間の行動を考慮し、アクセシビリティと保護のバランスを考えた、より包括的なサプライチェーンセキュリティのアプローチが必要であることを強調しています。
この会話は、ますます洗練されたサイバー脅威に対処する際に企業や個人が直面する課題を強調しています。
ヴェルモレルは、見かけ上は無害なケーブルにシステムを危険にさらす可能性のあるマイクロコンピュータが含まれている例を共有しています。彼は、脅威が多様で絶えず進化しているため、サイバー攻撃を防ぐために人々を訓練する効果に懐疑的な意見を表明しています。代わりに、ホワイトハットハッカーを雇い、企業のシステムの脆弱性を特定することが、ITセキュリティを向上させるより効果的なアプローチであると提案しています。
ワイルディングは、ホワイトハットハッカーを雇う重要性に同意し、自身がハッカーを雇って企業のボードのセキュリティ対策をテストした経験について言及しています。また、サイバー脅威の性質が常に変化しているため、定期的な評価の必要性も強調しています。ワイルディングは、不審な活動を検出しユーザーに警告することができるより洗練されたソフトウェアの存在を認めつつも、依然として侵害されたUSBスティックなどのハードウェアの脆弱性が重大なリスクをもたらすと指摘しています。
インタビューでは、利便性とセキュリティのトレードオフについて議論が行われ、ワイルディングは大規模な攻撃の可能性を制限するためにガイドラインとファイアウォールの確立の重要性を指摘しています。彼はまた、サイバーセキュリティの将来に対する楽観的な見方を示し、「進行中の戦い」としてのサイバーセキュリティの改善について言及しています。ワイルディングは、現代のWindowsラップトップに組み込まれたウイルス対策を例に挙げながら、継続的な意識と警戒心の必要性も強調しています。
ヴェルモレルとワイルディングの両氏は、意識、ホワイトハットハッカー、改善されたソフトウェアおよびハードウェアソリューションを含む、多面的なサイバーセキュリティの重要性を強調しています。彼らはサイバー脅威に対する戦いの継続性を認識し、個人や企業が警戒心を持ち、適応する必要性を強調しています。
フルトランスクリプト
キーラン・チャンドラー: 今日のLokadTVでは、サプライチェーンにおけるサイバーリスクについて話し合うために、リチャード・ワイルディング教授を迎えることができてうれしいです。リチャード、今日はイギリスから生中継で参加していただき、ありがとうございます。まずは、自己紹介とクランフィールド大学でのお仕事について少し教えていただけますか。
リチャード・ワイルディング: そもそも私のバックグラウンドは実業界で始まり、何年も前に偶然学界に入り込んでしまいました。それ以来、私はサプライチェーンの中断に関する研究を行ってきました。90年代初頭に経験したような事象は非常に異なっていました。2000年代には、9/11や火山灰、燃料危機、口蹄疫などの出来事があり、すべてがサプライチェーンのリスクと回復力に影響を与えました。私はおそらく世界で最初のサプライチェーンリスク管理の教授の一人になったのですが、その称号は現在進化しており、現在はクランフィールド大学のサプライチェーン戦略の教授です。私の目標は知識を実践に生かすことであり、この知識を活かして産業界で行動を起こすことが大好きです。私は英国のロジスティクス・トランスポート協会の直近の会長であり、貨物や人の移動からそれらに関連するすべてのサプライチェーンに至るまでをカバーしています。私の焦点は、サプライチェーンのリーダーに挑戦し、彼らにイノベーションを促すことです。今日のリスナーの皆さんがいくつかのアイデアを持ち帰り、経済的、社会的、または環境的な価値を創造するためにどのようにイノベーションを行えるかを考えることができればと思います。それがクランフィールド大学の真髄であり、知識をサプライチェーンのリーダーに伝え、彼らが働くサプライチェーンとビジネスで価値を創造できるようにすることです。
キーラン・チャンドラー: それは素晴らしい紹介ですね。LokadTVでは、イノベーションのアイデアに賛成しています。ジョアネス、今日のトピックはサイバーリスクとサプライチェーンへの影響についてです。最初の概要を教えていただけますか?
ジョアネス・ヴェルモレル: サイバーリスクは、実際には非常に直感に反するものの一つです。たとえば、ソフトウェアのセキュリティ問題を検出するのは非常に困難です。通常のテスト手法のほとんどは機能せず、典型的な開発プラクティスもこれらの懸念に対処できません。それは捉えどころのないトピックです。私の関心は、過去10年間でますます高まってきたのは、エンタープライズソフトウェアのほとんどの時間が
キーラン・チャンドラー: 過去数十年間、ソフトウェアの攻撃面積が技術的に増加している傾向が見られます。クラウド環境に移行すると特に攻撃の対象となるソフトウェアが増えます。クラウド環境はより安全ですが、ソフトウェアの入り口が多くなります。また、Webアプリを持つと、潜在的なセキュリティの問題に対して設計段階での緩和や予防が非常に困難なリスクのクラスが存在します。
ジョアネス・ヴェルモレル: キーラン、うまく機能しないテスト手法について言及しましたね。リチャード、サプライチェーンの観点から見ると、なぜセキュリティを確保するのが非常に困難なのでしょうか?
リチャード・ワイルディング: サプライチェーンの観点からは、比較的オープンな状態を望んでいます。サプライヤーや顧客との接続を望んでいますが、それによって複数の入り口が作られます。攻撃はしばしばサプライチェーン上で発生しています。ウェブサイトへのサービス拒否攻撃は、ビジネスを停止させることができますが、倉庫管理システムや自動運転車などを妨害することで、ビジネスの能力や再生能力に対してはより壊滅的な影響を与える可能性があります。実際の攻撃の一部は、例えばサプライヤーポータルを通じて行われています。人々はデータにアクセスしたり、大規模な顧客に情報を提供したりすることができますが、それによって入り口が作られます。フィッシング攻撃などの簡単な攻撃を行うことができれば、問題が発生する可能性があります。
さまざまな脆弱性が存在し、これは私が約18か月前から話していることです。サプライチェーンへのサイバー攻撃が急増しているためです。興味深いのは、これを防ぐのは誰の仕事なのかということです。問題は、サプライチェーンチームに行けば、ITチームの仕事だと言われます。ITチームに行けば、サプライチェーンの仕事だと言われます。実際には、誰の仕事でもありますので、これらの種類のことを止めるためには、全員が意識を持つ必要があります。ビジネスに対して教育し、これらの課題について認識させることが重要です。
キーラン・チャンドラー: リチャードは、サプライチェーンがますますつながっていると述べました。現在、多国籍企業はシステムを世界中に広げています。増加した接続性は本当に弱点だと言えますか?
ジョアネス・ヴェルモレル: はい、それが私が「攻撃面積の増加」と言った意味です。第三者にさらされるものが増えれば増えるほど、脆弱性も増します。インターネット上では、人と接続するのではなく、Webポータルを介してポート80を通じてHTTPでやり取りするソフトウェアの一部があります。それは常に機械です。その機械は人間によって操作されることもありますし、あなたが信じている従業員によって操作されることもあります。
キーラン・チャンドラー: なるほど、ありがとうございます。では、セキュリティに関してどこで意見が異なるか、解釈によってどこで分岐が生じると思いますか?
ジョアネス・ヴェルモレル: 私は全体的に、一般のユーザーの教育だけではこれらのセキュリティの問題を解決するのに十分ではないと考えています。だからこそ、非常に深く集中する必要があります。それはセキュリティの落とし穴でなければなりませんし、そこで本当に正確さによる特別なアプローチが必要です。人々が添付ファイルをクリックしないことを期待することはできません。災害からわずか1クリックの距離にあるものについて、人々がルールに従うことを期待するなら、それをやってしまいます。例えば、簡単な攻撃の一つは、駐車場でのUSBキー攻撃と呼ばれています。マルウェアが入ったUSBキーを駐車場に落とし、その上に「Bitcoinの隠し場所」と書きます。きっと誰かがそのキーを試して、コンピュータに接続するでしょう。人々が教育されることを期待するなら、彼らは人間です。彼らがかなり頭が良くても、睡眠不足になることがあり、判断力を欠くことがあります。それはただ起こることです。だから、人々が賢く、警戒心を持ち、教育を受けることを期待するなら、それはうまくいかないというのは非常に面白いことです。Googleのような企業がセキュリティをどのように行っているかを見ると、彼らは逆の立場を取っています。これは、原子力産業など他の分野でより適用されてきた立場です。人々が愚かなことをすると思うと、それよりもさらに悪いことをすることができるのかと考えます。しかし、これに似た他のアイデアもたくさんあり、それらはほとんど設計によるものです。
キーラン・チャンドラー: では、ジョアネスはそこで設計による正確さというアイデアを述べましたが、リチャード、私たちのシステムが非常に安全であることを保証するために導入できる方法は何ですか?
リチャード・ワイルディング: 興味深いことだと思いますし、設計による正確さが必要だと思います。それに疑いはありません。しかし、問題は、問題の原因の80-20の法則を見てみると、残念ながら人間なのです。そして、Googleオーストラリアは、ハクティビストによってハッキングされ、それを示すために行われました。彼らがアクセスした方法は、実際にはGoogleのオーストラリアの素敵な新しい建物の建物制御システムでした。それがハッキングされました。ターゲットのような本当に大きなビジネスの混乱を見ると、まださまざまな集団訴訟などが続いていますが、それは非常に興味深いです。4000万の支払いカードの資格情報と7000万の顧客記録が収集され、それが起こった方法は、暖房・換気空調システムでした。サプライヤーがフィッシングメールの標的にされました。それから彼らはそのビジネスの一部に侵入することができ、情報を収集するために回り回って、ポイントオブセールネットワークを見つけ、情報を取得し続けました。
キーラン・チャンドラー: これは非常に重要です。これまでに、燃料にかかった費用は、信じられないことに1億6200万ドルです。これは発生した特定の混乱です。しかし、ここで重要なことは、人々にこれらのことを認識させ、彼らの責任を認識させることができることです。しかし、設計の側面もあります。問題は、ある程度のオープンさが必要です。
リチャード・ワイルディング: そうですね、私のノートパソコンについて考えてみると、大学はそれをロックして何もできないようにすることができますが、それはあまり楽しくありません。数年前にこれがありました。それは「これは企業です。LinkedInには誰もアクセスできません。YouTubeにもアクセスできません。」というようなものでした。しかし、問題は、イノベーションに戻ると、イノベーションは新しいアイデアを取り入れ、価値を創造することです。突然システムをロックダウンすると、これらのシステムが人々がアクセスすべきではないものにアクセスすることを可能にしたり、インフラストラクチャを弱体化させたりする可能性があるため、別の効果が生じる可能性があります。したがって、会社内で「ソーシャルメディアのブラックアウトを行いましょう」ということが実際にはイノベーションのブラックアウトにもつながっていると言えます。なぜなら、多くのイノベーションと良いアイデアがこれらのチャネルを通じて効果的に共有されているからです。したがって、この点については特に注意が必要です。そして、もし何かがうまくいかない場合には、素早く検出できるように、設計によって確実にする必要があります。
キーラン・チャンドラー: ジョアネス、あなたも参加したいですか?
ジョアネス・ヴェルモレル: はい、私が言っていることが直感に反していると言ったのは、ロックダウンのアイデア全体がその完璧な例だと思います。企業が承認されたソフトウェアのみをインストールし、承認されたウェブサイトのみを訪れることができるようにノートパソコンのセキュリティを非常に厳重にしている場合、実際にはどうなるでしょうか?人々は自分自身のデバイスを持ち込み、自分自身のノートパソコンを購入します。したがって、理論的にはセキュリティを確保していると思っていたかもしれませんが、実際にはそうではありません。なぜなら、人々は反応して他のことをするからです。パスワードについても同じことが言えます。アメリカのNSAが公表した研究によれば、パスワードの頻繁な変更は有害です。パスワードを頻繁に変更すると、人々は週ごとのパスワードをデスクに貼り付けたメモに書き留めます。その結果、オフィス全体で、誰のパスワードも、誰のデスクにも、メモに書かれています。
だからこそ、私はそれが非常に直感に反していると言っているのです。そして、それは単なるバランスではありません。実際には、頻繁に人々をより安全でない行動に駆り立てることがあります。また、私は原子力産業にはそのような良い例がたくさんあると思います。あまりにも多くの保護具を人々に負わせると、夏の間はとても暑くなるので、人々はすべてのものを捨ててしまいます。つまり、人々はもはや何も保護具を持っていない状態になります。これは非常に愚かなことです。だからセキュリティはとても複雑なのです。なぜなら、人間の反応を考えなければならないからであり、それは完全に再帰的なフィードバックループのようなものです。
キーラン・チャンドラー: 考えてみてください、一定期間の間に収集すべきでないデータがあるかもしれません。たとえば、1週間だけ保持してそれを削除することができます。
リチャード・ワイルディング: もちろん、Targetについて興味深いことは、彼らがデータを保存していなかったということです。データはただ彼らのシステムを通過していました。クレジットカードの取引を行う場合、それはインターネットを介して銀行に送信される必要があります。そのフィードをタップしてそこに座っていることができれば、実際にはこのようなことができます。しかし、GDPRやデータ保護について考えると、本当に必要なものだけを保持することが非常に重要です。なぜこのようなデータの山を持っているのでしょうか?一部の企業は、人工知能を使って、将来何か有用なことができるかもしれないと考えて、このデータをすべて保持すべきだと信じています。それは私がこれまでに書いたすべてのメールを保持するのと同じようなものです。将来それを何か有用なことに使うでしょうか?私たちはそれを考えなければなりません。
パスワードについて人々に話すとき、私はいつもこの小さな引用を好きです。「パスワードは下着のようなものです。人に見せたくないし、頻繁に変えるべきではありませんし、見知らぬ人と共有すべきではありません。」しかし、同時に、これらのことを覚えることができるようにする必要もあります。そのためには他のアプローチが必要です。
Kieran Chandler: リチャード、コロナウイルスのために自宅で働く人がますます増えている現状について少し話しましょう。おそらく、これによりリスクが増えていると思います。このような状況で、会社やこの動画を見ている人々はどのように自己保護することができるでしょうか?
Richard Wilding: まあ、自宅で働くと、ある程度はより安全かもしれません。なぜなら、私の机の上にパスワードが散らばっているわけではないので、通り抜ける人は少ないからです。ですので、リモートワーキングはいくつかの要素があるため、わずかに安全性が高くなると主張できるかもしれません。しかし、同時に、今では皆が自分自身のデバイスを使用しています。これは以前にも言及されたポイントですが、それにも対処する必要があります。また、自分自身のルーター、インターネット接続、Wi-Fiネットワークなどを使用していることも重要です。それはどれだけ安全なのでしょうか?企業は従業員に自宅での勤務について教育し、Cyber Essentialsのようなリソースを活用して彼らをガイドする必要があると思います。
Kieran Chandler: ジョアネス、この動画を見ている人に対してどのようなアドバイスをお持ちですか?あなたの経験から、私のようなスタッフが悪い判断をすることから会社をどのように守ることができますか?
Joannes Vermorel: 教育ルートにはあまり信頼していません。もしくは、非常に特定の方法でのみ信頼しています。現在の脅威の中で見られる新興の問題をご説明しますと、Amazonでは偽物がたくさんありますし、他のものでも…
Kieran Chandler: では、リチャード、あなたから始めましょう。パンデミックの文脈で、リモートワークへの移行について多くの話題があります。リモートワーク環境におけるITセキュリティについて、最も懸念していることは何ですか?
Richard Wilding: まあ、リモートワークに関しては、ITセキュリティに関するさまざまな懸念があります。人々が必ずしも考えないかもしれないが、非常に基本的な懸念もあるのです。例えば、私たちが毎日使用しているUSBケーブルのようなものでも、実際にはマルウェアをコンピュータに送信することができます。コンピューティングの進歩により、ケーブルの中にマイクロコンピュータを内蔵することが可能になりました。これはアダプターや他の類似のデバイスでも起こりうることの一例です。つまり、見た目は普通のケーブルと同じで、信頼できるブランドであっても、20年前のコンピュータと同等の性能を持つものがケーブルの中に入っている可能性があります。そして、実際には偽物かもしれません。Amazonでもこのような問題が発生しています。
Joannes Vermorel: それについて付け加えさせていただければ、キーラン、私はITセキュリティに関しては、教育だけでは何の効果もないと非常に懐疑的です。問題は非常に広範で多様なため、人々が常に特定の方法で行動することに頼ることはできないと思います。しかし、リモートワークには考えられないほどのポジティブな利点があると思います。私の経験から言えば、ITセキュリティを向上させる最もポジティブな方法は、ホワイトハットを利用することです。つまり、企業のセキュリティの穴を見つけるためにリモートでサービスを提供するハッカーです。奇妙なことですが、セキュリティは非常に奇妙な領域であり、人々が特定の方法で行動することを期待していても、実際にはそうしない可能性が非常に高いです。例えば、誰かがテクニカルサポートを装って電話をかけてきて、あなたのコンピュータにアクセスしようとすることもあります。
Richard Wilding: はい、ジョアネス、完全に同意します。実際、私は取締役会の役割で、このような人々を雇っています。通常は以前にハッカーとして刑務所に入っていた人々で、現在は組織と協力してセキュリティの脆弱性を見つける仕事をしています。攻撃の手法は常に変化しているため、定期的に行うことが重要です。また、攻撃が発生した場合にどのように対処するかを理解することも重要です。ファイルの変更やコードの書き換えの変更を検知するためのより高度なソフトウェアがありますが、ハードウェアのアプローチについても考える必要があります。例えば、私が勤務しているCranfieldの軍事キャンパスでは、USBメモリは許可されていません。
Kieran Chandler: それは非常に興味深いですね。では、リチャード、サイバー攻撃を検出するために現在使用されているソフトウェアのアプローチについてもう少し詳しく教えていただけますか?
Richard Wilding: はい、現在はより洗練されたソフトウェアのアプローチがあります。ファイルが変更されたり、コードの一部が書き換えられたりすると検出できます。これらの変更に関するアラートを作成し、攻撃が発生する前に防止することができます。しかし、前にも言ったように、ハードウェアのアプローチも考える必要があります。USBスティックやケーブルなどの基本的なものに関するガイドラインを設ける必要があり、定期的にホワイトハットを雇ってセキュリティの脆弱性を見つける必要があります。
Kieran Chandler: では、ジョアネス、リチャード、サイバーセキュリティに関連する脆弱性とリスクについてたくさん話しましたが、私たち自身を守るための方法はいくつかありますか?
Joannes Vermorel: まず理解するべきことは、サイバーセキュリティは絶対的なものではないということです。それはセキュリティと利便性のトレードオフです。たとえば、非常に安全なシステムを持っている場合、使用するのが非常に不便かもしれませんし、非常に便利な場合はあまり安全ではないかもしれません。ですので、これらの2つの要素のバランスを見つける必要があります。
Richard Wilding: はい、もう1つ重要なポイントは、システム内で何が起こっているかを制限するためのファイアウォールを持つ必要があると思います。メガ攻撃は避けたいので、マルウェアの展開を検出して停止する必要があります。
Kieran Chandler: それは良いポイントですね。では、しばらくはポジティブな面に焦点を当てましょう。過去数十年間でサイバーセキュリティは大きく進歩しましたが、将来はさらに安全になると思いますか?
Richard Wilding: 正直なところ、それは継続的な戦いだと思います。サイバーセキュリティは常に進化し続けるゲームです。ただし、改善されていると思います。たとえば、今日Windowsのノートパソコンを購入すると、無料である程度のウイルス対策が備わったWindows 10が付属しています。ですので、サイバーセキュリティがパッケージの一部になりつつあることがわかってきています。
Joannes Vermorel: はい、しかし、私たちは全員に意識を高める必要もあります。USBスティックやケーブルでも混乱を引き起こす可能性があることを人々は知る必要があります。それが現在進行中の状況です。しかし、人々がこれに気づいていれば、これらのことをする前に2度考えるかもしれません。
Kieran Chandler: ですので、意識を高めることと、マルウェアの展開を検出して停止するためのシステムを整えることの組み合わせですね。では、ここで終わりにしましょう。お時間をいただき、ありがとうございました。今週は以上です。ご視聴いただき、ありがとうございました。次のエピソードでお会いしましょう。ご視聴ありがとうございました。