名和利男のプロフィール
名和利男(なわとしお)
・航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮 システムなどのセキュリティ担当(プログラム幹部)業務に従事。
・専門分野であるインシデントハンドリングの経験と実績を生かして、CSIRT(Computer Security Incident Response Team) 構築、サイバー演習(机上演習、機能演習など)、および新しい領域のフォレンジックの国内第一人者として、支援サービスを提供している。
pwc
名和利男の名言10選
(1) 情報漏洩を防止するための「Need To Know原則」を導入する動きも広まっています。これは、「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則を徹底して、情報に対するアクセスを厳格に管理しようというものです
~ 名和利男 ~
(2) 経営者の意識は「利潤追求」と「事業拡大」にあるため、これまでセキュリティー対策は二の次にされていました。しかし、最近では事業継続の観点からセキュリティー対策に積極的に取り組む企業が増えています
~ 名和利男 ~
(3) サイバー攻撃は技術の問題だけではなく、先に述べたソーシャル・エンジニアリングが密接に関係しています。防御する側としては、相手の行動を予測して先手を打つことができればいいのですが、これがなかなか難しい
~ 名和利男 ~
(4) 攻撃側としては、構築した攻撃環境を維持したいと考えるため、ターゲットに攻撃を受けたことを気づかせないようにすることが肝心です。そのため、手口はどんどん巧妙化しています
~ 名和利男 ~
(5) インターネットと繋げなくなることの少ない重要インフラ事業者などには、直接入ることが難しいので、攻撃側は社員情報を持っている組織、例えば健保組合や委託業者などを踏み台にして入り込もうとします
~ 名和利男 ~
(6) 手口としては、送りつけたメールの添付ファイルを開かせることで端末をマルウェアに感染させ、既存のセキュリティ対策におけるウィルス検知を巧妙に回避しながら、バックグラウンドで動き出して別のマルウェアをネットからダウンロードします。それは、特定の情報を攻撃者に送信するようプログラミングされているので、重要なパスワードや、ネットバンキングの認証に必要な情報が、気付かないうちに抜き取られるのです
~ 名和利男 ~
(7) あの手この手の攻撃に対して、防御側もさまざまな対応策を繰り出していますが、残念ながら基本的には後追いです
~ 名和利男 ~
(8) 最近多いのは、狙いを定めた高度な標的型攻撃です。これは、機密情報や知的財産などの情報を得るために、ターゲットに近い人物やセキュリティ対策の甘い端末から段階的に侵入していくものです
~ 名和利男 ~
(9) サイバー攻撃の手法が劇的に変化し、手口が格段に巧妙化したからです。情報通信技術だけでなく、正規サービスの悪用やソーシャル・エンジニアリング(人間の心理の隙間や行動ミスにつけ込んだ)などの社会工学と人間心理の両面で、攻撃側の能力が高度化しています
~ 名和利男 ~
(10) 2014年には世界95カ国で6万3000件以上のセキュリティー侵害があったとする報告もありますが、一般に知られているのは氷山の一角にすぎません
~ 名和利男 ~
