http://itpro.nikkeibp.co.jp/article/IDG/20140616/564386/

 業務データを保護したり、システムの脆弱性を見つけて対処したりと、多くの企業は苦労が絶えない。そうした中、CISO(最高情報セキュリティ責任者)の間では、ハッカーを防ぐには自らハッカーを雇うことが最善の策だという認識が広がり始めている。

 米人材コンサルティング会社Russell Reynolds Associatesでサイバーセキュリティ事業のグローバル共同代表を務めるMatt Comyns氏が最近のReutersの記事の中で明らかにしたところでは、セキュリティを専門とする人材を採用して防御を固めるには、かなりの費用がかかる。

 記事での同氏の発言によると、大企業が最近採用する中には、CISO自身の年収が50万~70万ドルというケースもあるという。テクノロジー企業の中には、太っ腹な株式報酬も含めて最高200万ドルに及ぶ報酬をCISOに与えている所もある。一方、5年以上勤続しているCISOの年収は、平均20万~30万ドルとのことだ。

雇われハッカー求む

 「優秀なセキュリティチームを構築したいと考えているCISOにとって、ホワイトハッカーや認定エシカルハッカーは、チーム構築の第一歩としてうってつけの候補だ」と、ITスキルのオンライントレーニングを手がける米CBT NuggetsのCOO(最高執行責任者)、Ryan Lee氏は話す。

 「もちろん、こうした人材にかかる費用の高さから、採用に二の足を踏む企業もある。しかし、セキュリティの事前対策を重視しない企業は、後からもっと悲惨な費用負担に見舞われることも考えられる」と同氏は言う。ホワイトハッカーの給与は10万ドルを超えることもあるが、具体的な額は企業によってさまざまだという。

 CISOや、ホワイトハッカーのようなセキュリティ専門職に対するニーズは、経験談に偏りがちな面もある。だが、CBT Nuggetsでセキュリティやエシカルハッカーに関するコースの開発と講師を務めているJames Conrad氏によると、全体の傾向として、ITコミュニティーはセキュリティ問題にますます敏感になっており、セキュリティやエシカルハッカー関連のコンテンツへの関心は高まっているという。

 「1つ気づいたのは、あらゆるレベルでセキュリティ・プロフェッショナルに対するニーズが高まりつつあることだ。特にここ2~3年はその傾向が強い。Webの黎明期は、セキュリティの優先順位は二の次だった。だが、無法者が脆弱性の攻撃方法を探り出すようになると、またたく間にセキュリティが最優先事項に躍り出た。それ以降はずっとその座にある」

 だが、優れた技能を持つセキュリティ・プロフェッショナルへのニーズが高水準を維持している一方で、条件に合致する人材は不足しつつあると同氏は話す。特に、脆弱性テスター、侵入テスター、ホワイトハッカーといった専門的な人材でその傾向が見られるという。

 「ITセキュリティ担当者の大半は、システムのメンテナンス、構築、パッチ適用や、それ以外の『火消し』などで、現時点でも週に40~60時間を費している。これ以上別の作業に大きく充てられる時間はそもそもない。特に、脆弱性の発見という点に関してはそう言える。せっかくセキュリティ担当者のチームがあるのだから、そうした点にも対応できれば確かに理想的ではある。しかし現実には、日々の決まった作業が優先され、そうしたことは後回しになっている」

 こうした現状維持で自己満足していると、企業のシステム、データ、情報を標的とするハッカーの侵入や攻撃をあっさり受けてしまう。特に、セキュリティが手薄な支店を持つ大企業や、そもそもセキュリティ予算があまりない中小企業によく当てはまる話だとConrad氏は言う。

 不正侵入、データ流出、国家主導のサイバー攻撃などがメディアで大きく取り上げられている今の状況においても、ハッカーを雇うことの価値を理解している企業は、残念ながらあまり多くないとLee氏は指摘する。

 「大きく報じられた米Targetや米Neiman Marcusのカード情報流出事件や、米国を標的とした中国人ハッカーの存在が示すように、企業は高度で継続的な脅威に日々さらされている。それらの脅威に対抗するための事前対策には費用も時間もかかる場合がある。だが、そうした脅威はそのように対処せざるを得ない」


 教育は何よりの武器になるとLee氏は言う。認定エシカルハッカーの力を使って、潜在的な脆弱性を発見したり、攻撃を未然に防いだりすることで、企業は脅威の本質や大事故の危険性を理解できる。

 「善良なホワイトハッカーの多くにとっては、目標は侵入テスターになることだ。つまり、システムに対する合法的なハッキングを行って脆弱性を割り出すことである」とConrad氏は言う。だが、エシカルハッカーとして動きたくても身動きが取れないという状況になることも多い。契約上の義務、プライバシー規則、コンプライアンス上の懸念といった理由からだ。

ハッキングのお墨付き

 「エシカルハッカーと契約する時には、弁護士の助言に基づいて、対象となる作業の範囲、アクセス可能なデータやシステム、ハッキングに充てられる期間について定めた法的な契約を結ぶことが必須になるケースが多い」とConrad氏は言う。多くの場合、エシカルハッカーに与えられる作業期間は数週間だ。決して十分な期間ではない。

 「これはかなりの難題だ。ブラックハッカーは、攻撃の開発や展開に関して、数カ月から数年という期間をかけることも時にはある。昔ながらの道徳心に縛られているわけではない。企業にとっては、ホワイトハッカーにシステムを探ってもらう期間が長いほどよい。しかし多くの企業は、現実を見て見ぬふりをして、そのための費用をかけたくないと考えてしまう。実際に費用をかけるのは、手遅れになってからだ」

 分かりやすいハッキングや攻撃の中には、1週間足らずで発見や利用が可能なものもある。しかし、ハイレベルな攻撃者の多くは、そうした目先の利益には目もくれず、目的のデータを手に入れたり侵入を果たしたりするために、数週間、数カ月間、数年間にわたって、好機の到来をじっと待つとConrad氏は指摘する。


 ホワイトハッカーを採用した企業の多くは、十分な保護が確立されたという安心感を得るはずだ。パッチ、ウイルス対策、スパム対策、ソフトウエア更新などを最新の状態にし、エシカルハッカーを雇うことで、あらわな脆弱性にも対処しているからだ。一方で、より複雑で分かりにくい脆弱性を見逃してきたことが判明するケースも多い。

 「エシカルハッカーにとって最も重要な仕事の1つは、ハッカーがいかに巧妙な手段でシステムへの侵入を果たすかについて、企業を教育することだ。いわば自らのROIを証明し、企業が10万ドル以上の給料を払うだけの価値が現にあるのだと示す必要がある」とConrad氏は言う。

ハッカーの自主自律性

 当然生じるであろう疑問が1つある。自社が雇ったエシカルハッカーが本当にエシカル(倫理的)だという確証は、どのように得られるのだろうか。あいにく、100%の確証が得られることは決してあり得ないとConrad氏は言う。ホワイトハッカーやエシカルハッカーという職業全体が、本人の道徳心や倫理観を基盤として成り立っているからだ。

 「認定エシカルハッカーになる時に、法的書類への署名が確かに義務づけられている。自らの技能を悪ではなく善のために使うことに同意するとの署名だ。だがそれは決して保証にはならないし、絶対的に確証する手段は残念ながら何もない。これは本質的に内在するリスクの1つであり、こうした脅威に対処するためには企業はこのリスクを取らざるを得ない」とConrad氏は言う。


 CBT Nuggetsは現在、Certified Ethical Hacker資格のバージョン7向けのコースを提供している。本記事の執筆時点では、バージョン8向けのコースも完成間近で、2014年6月中に正式版として公開する予定だ。Lee氏によると、バージョン8は既に1万2000以上のビューを集めている。セキュリティへの懸念や大規模な攻撃がメディアで大きく取り上げられるたびに、ビュー数も増加の一途をたどっていくと同氏は予想する。

 「今やセキュリティは全体として巨大な分野になっている。Target、eBay、Neiman Marcusなどの(データ流出事件の)報道は特に大きな契機だ。人々を啓蒙し、世の中の危険性やサイバーセキュリティの脅威に目を向けてもらうことが鍵になる。我々が目指しているのはそこだ」とLee氏は言う。

 Conrad氏によると、認定エシカルハッカーとなるためには、最低でもヘルプデスクレベルのITスキルと、サーバーの経験、そしてLinuxに精通していることが求められる。当然ながら、経験は多ければ多いほどよいが、CBT Nuggetsが提供しているようなコースを利用すれば、必要な知識は短時間で得られると同氏は言う。

 「認定エシカルハッカーの市場は大きく広がっている。攻撃がますます巧妙化し、脆弱性が分かりにくくなっているだけになおさらだ。こうした巧妙なハッキングに関与している人は、現時点ではあまり多くない。しかし、著しい損害をもたらし得るものであり、この種のスキルに対するニーズは今後も高まり続けるはずだ」


・・・・






・・・・