基調講演 情報セキュリティの負の連鎖へ立ち向かう ~Fraud Computing
「セキュリティ対策最適化セミナー」は、三輪信雄氏(S&Jコンサルティング)による「情報セキュリティの負の連鎖へ立ち向かう~Fraud Computing」と題した基調講演で幕を開けました。情報漏えいやWebアプリケーション、さらにはクラウドコンピューティングなど、幅広い領域でのセキュリティ対策の課題について解説が行われました。
教育は再発防止にはならない
S&Jコンサルティング株式会社 三輪信雄氏
個人情報の漏えいが大きなニュースとして取り上げられるようになってからというもの、多くの企業でセキュリティ対策が進められています。しかし現実には、いまだに情報漏えいのニュースは後を絶ちません。こうした状況の背景には不景気があると、S&Jコンサルティングの三輪信雄氏は語ります。
「昨今の不況によって残業代をはじめとする報酬のカットが行われるようになり、従業員のモチベーションは低下しています。こうなると、情報を悪意で持ち出そうと考えても不思議ではありません。個人情報を売買するためのスキームはすでにできあがっていて、ニュースを見ていれば個人情報がどれくらいの額で売れるのかも分かります。コピーして持ってくるだけなので、罪悪感が少ないことも原因の一つと言えるでしょう」
こうした状況を改善するべく、従業員のセキュリティ教育に投資する企業は少なくありません。しかし三輪氏は、「 多くの会社で情報セキュリティ関連の教育を実施しています。しかし遊びにお金を費やして困り果て、顧客の個人情報を持ち出して売ってしまうような人がいる会社でいくら教育をしても再発防止にはなりません」と抜本的な対策にはならないとの認識を示しました。
具体的な対策の例として、三輪氏はセキュリティについて集中的に監視と運用を行う「プライベートセキュリティオペレーションセンター(PSOC) 」の構築を挙げます。「 特定のクライアントPCをピンポイントで監視するなどといったことを行う、PSOCを社内に構築するといった企業が徐々に出始めています。再発防止にはこうした仕組みを作ることが重要であり、従業員の教育などは後でもいいのではないでしょうか」
ぜい弱性があることを前提に防御策を構築
内部犯行と同時に、情報漏えいの原因として増えているのがWebアプリケーションのぜい弱性を狙った外部からの攻撃です。SQLインジェクションなどの手法によってWebサーバを介してデータベースに侵入、そこに蓄積されている個人情報を盗むという手法です。
根本的な対策としては、開発時点でぜい弱性を解消しておくことが挙げられ、そのため開発エンジニアにセキュリティ教育を実施する企業は少なくありません。しかしこうした施策を実施しても、現実的にぜい弱性を解消するのは難しいと三輪氏は語ります。
「どれだけ気をつけてもSQLインジェクションなどにつながるぜい弱性はいくらかの確率で残ってしまいます。もちろん、エンジニアへの教育を実施するに越したことはありませんが、だからといって後工程のコストが不要になったり、開発と運用のトータルコストが安くなるということはありません。どうしてもある程度問題は出てくるわけで、それを安価にキャッチアップすることが重要だと考えています」
続けて、前工程でどれだけ気をつけてもぜい弱性が残るのであれば、それをシステム的に塞ぐ方法を考えるべきであると説明します。
「ぜい弱性をWAF(Web Application Firewall)で防いでしまえば、ぜい弱性検査自体が不要になるかもしれません。また、ぜい弱性検査には見つけやすいものと見つけにくいものがあるので、見つけにくいものをWAFで塞いでいくわけです。このように検査とセキュリティ技術をうまく組み合わせて、ぜい弱性という穴を防いでいけば、むやみに全数検査を行わなくてもコストを落としていけると思います」
ログ取得はまず目的を明確化することが重要
現在、企業セキュリティにおいて、さまざまなデバイスから出力されるログを有効活用しようという機運が高まっています。これに対して三輪氏は、「 ログを取っているからといって情報漏えいを防ぐことはできません。ログを取った後にアクションを起こさないと意味がないわけですが、多くの企業ではログは取りっぱなしで有効に活用されていません」と現状を説明します。
続けて「メールによる情報漏えいが不安、あるいは掲示板の書き込みが心配という前提があり、その対策の一環としてログを取りましょうという話になるわけです。そうした目的によって、ログの分析に求められるスキルも変わってきます」と、目的意識を持つことが重要だと語ります。
現在、複数のデバイスから出力されたログを統合管理するソリューション、あるいはログを分析するためのソリューションが各社から提供されています。ただこれらを導入する前に、改めてログ取得の目的を明確にし、自社に必要なソリューションを見極めるべきだと言えるでしょう。
クラウドに機密データは置けない
企業のIT環境に大きな影響を与えるものとして、クラウドコンピューティングに注目が集まっています。しかし現在のところ、クラウドのセキュリティに関しては大きな話題となっていません。三輪氏は想定事例をもとに、クラウドコンピューティングのセキュリティ面での不安を指摘します。
「たとえば海外の大きなクラウドサービスを使っていて、どうも顧客情報が漏れたらしいということになったとしましょう。企業としては、当然事実を確認するためにサービス提供事業者に問い合わせるわけですが、こちらからは漏れていないとの返答がきます。それを確かめるためにアクセスログの開示を求めますが、これも拒否されてしまう可能性は高いと考えています」
アクセスログの開示が拒否されるであろう根拠として、三輪氏はサービス提供事業者のコスト面の問題、そして法整備が不十分であることを挙げます。
「そもそも世界各国のデータセンターに分散されているサーバのアクセスログを取得していると、膨大なコストとなってしまいます。そのため、サービス提供事業者にとってはコスト削減対象になっているかもしれません。また、法的な整備も整っていないため、アクセスログの提出が拒否されて裁判ということになれば、長い時間が費やされる可能性があります」
当然アクセスログがなければ情報漏えいの事実を確認できず、説明責任を果たすことはできません。情報漏えいの側面から見た場合には、現状のクラウド利用にはこうしたリスクが存在することを示し、続けて「確かに安価ではありますが、顧客情報など機密データは置けないと考えています」と、リスクを考慮して用途に応じて使い分けることが重要であると解説しました。
セッション1
メールセキュリティの現在と未来像
~製品開発、サポートの現場からの視点から~
2番目のセッションは「メールセキュリティの現在と未来像~製品開発、サポートの現場からの視点から~」と題し、西尾高幸氏(ギデオン)による現状のウイルスやボットネットによる脅威についての解説が行われました。また沖田昌弘氏から、スパム及びウイルスメールの高い阻止率とコストパフォーマンスに優れたギデオンのメールセキュリティソリューションが紹介されました。
深刻化するボットネットの問題
左:株式会社ギデオン 代表取締役社長 西尾高幸氏
右:株式会社ギデオン テクニカルセールス マネージャー 沖田昌弘氏
以前のウイルスと言えば、世間が大騒ぎすることを目的とするなど、稚拙な動機で作られるものがほとんどでした。しかし現在のウイルスは明確な目的を持って開発されているとギデオンの西尾高幸氏は指摘します。
「以前の愉快犯的なウイルスではなく、金銭の搾取などを目的としたクライムウェアが現在は主流となっています。具体的には、キーボードから入力した内容を送信するキーロガー、あるいは感染したPCに外部から侵入することを可能にするバックドアを使ってパスワードや暗証番号などの機密データを盗み出し、それによってオンラインバンキングなどから金銭を搾取するわけです」
こうしたウイルスと同様に、インターネットにおいて大きな問題となっているのがボットネットについても、やはり金銭が絡んでいると西尾氏は語ります。
「現在ボットネットサービスプロバイダは、第三者のスパム配信を請け負い、その対価を得ています。こうして犯罪者間の取引市場が成立しているわけです。ただ、昨今では一部のISPにおいてボットネット業者を閉め出しが行われるようになりました。実際に接続を遮断されたボットネット業者にMcColo Corpがあり、当社の観測においても閉め出された後はスパムメールが減少したことを確認しています。ただ、しばらくすると場所を変えてサービスを再開したようで、スパム流通量は元に戻っています」
スパムメールの問題から引き起こされる二次災害
ギデオンではスパムメールを検知するためのソリューションを展開しており、西尾氏はサポートに寄せられる質問を紹介します。
「エラーメールが大量に送られてきて困っているという事案がありました。これは、メールのFrom欄にあるアドレスを偽装したスパムメールが原因です。このスパムメールの宛先にあるアカウント名が実際になければ、サーバは『User Unknown』としてエラーメールをFrom欄にあるアドレス宛に送信します。しかしFrom欄は偽装されたアドレスで、それが架空のものであった場合、エラーメールを受け取ったサーバもエラーメールを送信し、エラーメールが跳ね返って来てしまうというわけです。これは設定次第で回避することが可能です」
またスパムメールの配信元としてRBLに登録されてしまい、それが原因でメールを送信できなくなる事例も多いとのことです。
「RBLにはスパムメールを送信するサーバのドメイン名が登録されており、各々のサーバはメールが送られてきたときにRBLに登録されているサーバであると判断するとメールの着信を拒否します。自社のサーバがスパムメール送信時の踏み台として使われてしまうと、スパムメールを送信しているサーバであると判断されてRBLに登録されてしまうわけです。そうしたお客様のために、ギデオンではRBLの登録状況を確認し、リストから削除するお手伝いも行っています」
6段階のフィルタで約95%のスパム検知率を実現
西尾氏に続いて同じくギデオンの沖田昌弘氏が登壇、同社のセキュリティソリューションについて紹介が行われました。
「ギデオンでは、スパムメール、さらにはウイルスを駆除するための製品として、メールサーバにインストールするMTA版、そしてネットワーク上に設置して利用するアプライアンス版を提供しています」
MTA版の特徴としては挙げられたのは、対応環境の幅広さで、メールサーバソフトウェアはSendMailとPostfix、qmailに対応し、OSもLinuxの幅広いディストリビューションがサポートされています。
アプライアンス版として提供しているのは「BLOC system」で、メールサーバの場所やOSを選ばずに利用できることが特徴だと沖田氏は紹介します。
「BLOC systemは透過ブリッジ方式でネットワーク上を流れるPOP3及びSMTPのパケットを自動的に監視し、スパムメールやウイルスメールの検知や駆除を行います。ネットワーク上を流れるパケットを監視しているため、サーバへのインストールが不要です。たとえばインターネット上でASPとして提供されているメールサーバを利用している場合でも使うことができます」
さらに沖田氏は、BLOC systemの特徴として「PortControl」の存在を挙げます。PortControlはネットワーク上でパケットを監視し、送受信されるメールをBLOC systemに転送するための中継器の役割を果たします。さらにBLOC systemの死活監視も行っており、万一BLOC systemが停止した場合にはパケットを通過させることで、メールの送受信に影響を与えない環境を構築できるとのことです。
気になるのはどのようにスパムメールを検知しているのかという部分です。これに関して沖田氏は、RBLなどを利用した多段階構成でチェックを行っていると話します。
「スパムメールの検知はMTA版とアプライアンス版で共通しており、独自のRBL及び数サイトのRBLを利用したチェック、スパムデータベースを利用した判定など、6段階のスパムチェックを行っています。スパム判定方法の一つにベイジアンフィルタがありますが、管理者の負担が大きいのが欠点です。しかしギデオン製品は学習やメンテナンスが不要で、その上で約95%という高い検知率を実現しています」
昨今では内部統制を強化する必要性から、従業員が送受信したメールの保存も求められるようになりました。これに対応するソリューションとして、ギデオンでは「メールアーカイブ Plus」を提供しています。その特徴について、沖田氏は次のように紹介します。
「メールアーカイブ Plusはスパムメールやウイルスメールを検知するためのフィルタを通過したメールだけをアーカイブするため、不要なメールが蓄積されないことが大きな利点です。インデックス化した項目でメールを検索するためのインターフェイスも用意されており、さらに部課単位などのグループで検索対象を制限するといった機能も用意しています。既存のメールサーバやネットワークに組み込むことで、メール情報の共有やメール管理が可能になります」
最後に「将来のロードマップとして、このメールアーカイブ Plusに加えて、さまざまなデータを集約して検索できるエンタープライズアーカイブの開発に取り組んでいます」と将来の計画について語り、講演を締めくくりました。
スペシャルセッション
企業のセキュリティの根幹となる人財
~育成・活用とキャリアパスへの考察~
企業のセキュリティへの対応において、もっとも重要になってくるのは実務を担当する「人」ではないでしょうか。スペシャルセッションでは、「 企業のセキュリティの根幹となる人財~育成・活用とキャリアパスへの考察~」と題し、セキュリティ対策における実務担当者育成の課題について、安田良明氏(ラック)より解説が行われました。
さまざまな場面で人間の判断が求められるセキュリティ対策
株式会社ラック サイバーリスク総合研究所
先端技術開発部 安田良明氏
ラックの安田良明氏は、まずIT環境におけるセキュリティ対策でも、最終的には人の判断が重要であると解説、さらに人材の育成について言及します。
「セキュリティ対策や情報セキュリティのマネジメントにおいては、企画から設計、開発、運用まですべての段階で人間の判断が求められます。これを適切に処理、あるいは経営層が判断できるように材料を提示できる人材を育成するというのは難しい課題となっています」
加えて、どこまで対策を実施すればいいのかが明確ではないことから、セキュリティ対策は難しいものであるとの認識を示します。続けて、企業ごとの対策に差が生じることも難しさの要因であると語ります。
「たとえば企業の中でデータを保護しなければならないといった場合、そもそも使命や制約、さらには企業文化といった違いがあり、ほかの企業がやっていることをそのままコピーすればよいというものではありません。企業を取り巻く環境も、セキュリティ対策に影響します。顧客が企業に対して期待しているセキュリティレベルがあり、さらに法律に従う必要があったり、取引先からの要望もあるかもしれません」
こうしたことを踏まえ、セキュリティ対策は自社の状況や外部環境を分析するところから始まり、さらに新たな脅威が登場すれば限られた予算の中で対策を考えなければいけないなど、「 対策を実施していくさまざまなフェーズにおいて、必ず人間の判断が求められるわけです」と安田氏は語り、人材育成が重要であることを改めて強調しました。
キャリアアップや人材育成に資格を活用
しかしその一方で、現状ではセキュリティスキルを身に付けても待遇に結びついていないと現状を分析、人材育成に対する投資の必要性を語ります。
「情報セキュリティの教育はセキュリティ委員、あるいはセキュリティ室で実施されており、人事教育課程における評価のラインからは外れているため、評価の対象にならないケースが多いと思います。しかし情報セキュリティは企業の存続に関わる重要な問題です。たとえば個人情報の漏えいにつながる事件があれば、数億円のキャッシュが支払いに消える可能性もあるわけです。そのためセキュリティ対策そのものや、個々の実務者のスキルを向上させるための投資は必須であると言えるのではないでしょうか」
ただ、実際にセキュリティスキルを身に付けても、それを第三者に証明するのは容易ではありません。そこで安田氏は、「 人事における評価や現場の人間のキャリアパス、企業におけるセキュリティレベルの向上において、資格取得は有効」と資格を活用するべきであるとの認識を示しました。
人を育てなければ組織は強くならない
セキュリティにおける資格として、( ISC)2がセキュリティの実務担当者向けに提供しているのが「SSCP(Systems Security Certified Practitioner) 」です。ネットワーク及びシステムの開発や運用管理に携わっている人が対象で、情報セキュリティを技術だけでなく組織の観点でも理解していることを認証します。これを取得することにより、実務者がセキュリティの知識を持っていることを客観的に証明することができます。
このSSCPの特徴として、安田氏は開発や運用の現場の人々に求められるセキュリティに対する知識を7つのドメインに集約していることを挙げます。
「SSCPで規定されている7ドメインの共通知識分野は、世界中の情報セキュリティの専門家が、セキュリティにおいて最低限知っておくべきだという内容をまとめたものです。日本独自のものではないため、ワールドワイドでセキュリティについて知識があることを証明することができますし、海外の製品の評価にも使えます」
SSCPを利用したセキュリティ教育は、「 必要な対策を正しく判断できる人材を育成することになり、セキュリティに対する投資コストを抑えられる」と費用対効果の面でも有効であると紹介します。最後に「人を育てるということをやっていかないと、組織が強くなりません。それを実現するための人材教育の一環として、ぜひSSCPを使っていただきたい」と述べて締めくくりました。
セッション2
ISMS(情報セキュリティマネジメントシステム)にみる情報資産マネジメントと、情報漏洩の脅威に対するセキュリティ対策の取り組み
Webやメールによる情報漏えいは、セキュリティ対策において重要なポイントとなりつつあります。4番目のセッションでは「ISMS(情報セキュリティマネジメントシステム)にみる情報資産マネジメントと、情報漏洩の脅威に対するセキュリティ対策の取り組み」と題し、株式会社HDE プロダクト本部 マーケティング部 プロダクトマネージャ 我孫子聡氏より情報資産の管理、そしてWebやメールによる情報漏えい対策のポイントが示されました。
社内の情報資産とその価値を見極めることが先決
株式会社HDE プロダクト本部
マーケティング部 プロダクトマネージャ
安孫子聡氏
多くの企業でセキュリティ対策が進められていますが、果たしてそれらは独りよがりの対策にはなっていないでしょうか。間違いないと思っていたセキュリティ対策が実は効果的なものではなかった、あるいは非効率的だったということは珍しくありません。メールを中心としたセキュリティソリューションを提供しているHDEの我孫子聡氏は、自社でISMSを取得した経緯を踏まえ、セキュリティ対策を考えていく上で重要なポイントを解説します。
「実際にHDEでISMSを取得してみて、重要なポイントだと感じたのは情報資産の棚卸しです。情報資産は顧客情報だけではなく、業務システムや印刷した紙なども含まれます。これらの価値を機密性と完全性、可用性の3つで点数を付けていくわけです。」
たとえば機密性であれば開示できる範囲、完全性なら改ざんや毀損が起こったときにどれだけのダメージが発生するのか、そして可用性なら情報を利用する頻度などといった項目で数値化していくと、それぞれの情報がどういった価値を持っているのかが分かるわけです。
さらに、同様に機密性と完全性、可用性を脅かす脅威やぜい弱性を洗い出せば、必要なセキュリティ対策の方向性が見えてくると言います。
「たとえば情報の価値が高くて脅威があり、なおかつぜい弱性を持っているものであれば、最優先で対策をしなければならない。逆に情報の価値が低く脅威やぜい弱性がなければ、対策の必要性は低くなります。対策ありきではなく、会社の中にどういった情報があり、それの重要度はどの程度なのかを見極めていくことが先決ではないでしょうか」
Webにおける情報漏えい対策はログの取得が肝心
昨今、掲示板やブログへの書き込み、Webメールや出会い系サイトへのアクセス、フィッシングサイトの利用など、Webにまつわるセキュリティリスクは増大しています。匿名掲示板だから誰が書いているのか分からないと考える人は多いが、実際には「まず間違いなく誰が書き込みを行ったのかは分かります」とのこと。
こうしたリスクが増大していることから、注目が集まっているのがWebフィルタリングソリューションです。ただ、現状のブラックリスト型のWebフィルタリングソリューションは、企業の実情に即したものではないと我孫子氏は語ります。
その理由として挙げられたのが、そもそもの目的の違いです。多くのWebフィルタリングソリューションは学校や家庭をターゲットとしており、見せたくないWebサイトへのアクセスを禁止するというものです。また、日々新しいWebサイトが現れるため、膨大なコストを使ってブラックリストを更新しています。そのコストは2年目以降の更新費用としてユーザーが負担することになり、運用コストの増大を招いていると言います。
こうしたソリューションを企業が導入した場合、不必要なWebサイトのアクセスを抑制し、業務効率の低下を防げると考えるかもしれません。しかし我孫子氏によれば「我々がヒアリングしたところ、そもそも私的利用による業務効率の低下より、情報漏えいを防ぐことに期待しているという結果が出ています」とのこと。そこでHDEが提供を開始したのが「HDE Web Cop」というソリューションです。
「Web経由の情報漏えいの防止に特化し、クライアントからのWebサイトへのアクセスをすべてログとして記録するというソリューションです。このログにはWebメールで入力した内容や添付したファイル、掲示板に投稿した内容なども含まれます。このため、何か事故が発生した場合の調査が可能です」
一方、ブラックリスト型のURLフィルタリング機能は搭載せず、機能を絞ることによってコストダウンを図った製品だと紹介されました。
メールでの情報漏えいを防ぐ多様なソリューション
Webサイトへのアクセスと同様、メールの送受信にもさまざまなリスクがあります。特に情報漏えいへの対策としては、Webと同様にすべてログとして記録し、さらに送受信したメールをアーカイブとして保存することが重要です。これを実現するソリューションとしてHDEが提供しているのが「HDE Mail Filter」です。我孫子氏はメールによる情報漏えい対策ソリューションに求められる機能を次のように説明します。
「すべてのメールをログとして記録し、アーカイブとして保存できるだけでなく、問題が発生したときに原因を特定するためにはアーカイブの検索のための機能も必要です。またあらかじめ定めたルールに従ってメールを検査し、ルール違反となったメールは上長が承認しない限り外部に送信しないといったルールを定義できれば、事前に情報漏えいを防ぐことにもつながります。HDE Mail Filterはこれらの機能をすべて備えています」
さらにHDEでは、メールの改ざんやなりすまし、情報漏えいの防止を実現するためのソリューションとして「HDE Secure Mail」シリーズを展開しています。
まず送信者の偽装を防ぐために提供されているのが「HDE Secure Mail for S/MIME」です。これはS/MIMEという仕組みを使ってメールに対して電子署名を行い、送信者の偽装を防ぐためのソリューションです。
「S/MIMEを使って送られたメールでは、たとえばOutlook Expressなら正当な署名付きのメールを受信すると画面上にリボンが現れ、それをクリックすると誰が証明したのかが確認できます。またなりすましなどの不正があった場合には、メールの本文が表示される前に警告画面が表示されるので、不正があったことが分かります」
情報漏えいという観点からメールを考えた場合、宛先を間違えて重要なメールを送信してしまうケースが考えられます。こうしたリスクに対応するソリューションとして提供されているのが「HDE Mail Filter for Online Storage」です。具体的な仕組みについて、我孫子氏は以下のように解説します。
「メールにファイルが添付されていると、それをサーバ上に保存し、実際の宛先には添付ファイルがない状態のメールを送信します。その上で、宛先に間違いはないか、添付したファイルは意図したものかを送信者が確認した上で、サーバからダウンロードするために必要なURLやログインパスワードを送信します。もちろんパスワードを知らない限りファイルをダウンロードすることはできないので、仮に宛先や添付ファイルを間違っていても、確認のタイミングでそれに気付けば受信した相手がファイルを見ることはなく、情報の漏えいを防げるというわけです」
このほかHDEでは、PGPという仕組みでメールを暗号化する「HDE Mail Filter for PGP」 、さらには添付ファイルをパスワード付きZIPファイルに変換して送信する「HDE Mail Filter for ZIP」といった製品も提供しており、HDEがメールセキュリティを向上させるための多様なソリューションを展開していることを紹介しました。
なお、我孫子氏は同社のソリューションについて「いずれの製品もゲートウェイ上で対策を実施するため、クライアント側での設定や作業は必要ありません。利用者はこれまでどおり普通にメールを送受信することが可能で、なおかつゲートウェイでもれなく一括管理できるソリューションとなっています」と特徴を解説しました。また、こうしたソリューションを利用したログの取得は、不正利用の抑止力につながることが十分考えられます。そうした意味で、これらのソリューションは多くの企業にとって有用な情報漏えい対策になるのではないかと感じました。
トークセッション
キーパーソンが語る! 企業セキュリティ対策のこれから
最後のセッションでは基調講演にも登壇した三輪信雄氏をモデレータに、「 キーパーソンが語る! 企業セキュリティのこれから」と題し、一般社団法人JPCERTコーディネーションセンター 代表理事 歌代和正氏、株式会社イマーディオ 代表取締役 満塩尚史氏、株式会社ラック サイバーリスク総合研究所 所長 新井悠氏、味の素システムテクノ株式会社 システム管理センター 専任課長 新井亨氏の4名を迎えてパネルディスカッションが行われました。その模様の一部をご紹介します。
企業の中にもボットは入り込んでいる
モデレータ:S&Jコンサルティング株式会社 三輪信雄氏
左:一般社団法人JPCERTコーディネーションセンター 代表理事 歌代和正氏
右:株式会社イマーディオ 代表取締役 満塩尚史氏
左:株式会社ラック サイバーリスク総合研究所 所長 新井悠氏
右:味の素システムテクノ株式会社 システム管理センター 専任課長 新井亨氏
三輪氏: インターネット上で問題になっていることの1つとしてボットネットがありますが、現状ボットの感染規模は把握できているのでしょうか。
歌代氏: 3年くらい前にボットの感染率の調査をしたときは、全体の利用者の約4%が感染しているという結果が出ています。さらに、無防備なパソコンをインターネットに接続すると、2~3分でボットに感染してしまいました。それが3年前の調査ですが、それよりも減っているとは思えないですね。
こうしたボットへの対策として、テレコムアイザックとJPCERT/CCが、総務省と経済産業省のバックアップを受けて「サイバークリーンセンター」というWebサイトを運営しています。ご存じない方がいたらぜひアクセスしていただきたいのですが、ここでボットの駆除ツールを配布しています。なおかつISPと協力して、実際にボットに感染している人に駆除ツールを使うように個別に連絡しています。
三輪氏: ボットを開発する側の人たちにも戦いがあって、開発者同士の抗争があるという話を聞いたことがあります。先に如何にPCに入り込むかというのが勝負で、たとえばボットがPCに入り込んだときに、別のボットが入っているとそれを削除したりするそうです。
こういうお話をしたのは、ボットの開発側は当然真剣で、投資も行っていますし技術力もあります。それに対して守る側は過去の常識に縛られていて、現実とずれてきているのではないかと感じているのではないかと思うからです。
それと気になるのは会社の中のPCがボットに感染しているのかどうかですが、実際のところはどうなんでしょうか。
新井悠氏: 先日、お客様から“ どうも変なファイルを開いてしまったので見て欲しい” という相談があって伺いました。そこでは人材募集をされていて、送られてきた履歴書を開いたということでした。その履歴書に見えるファイルを分析してみたところ、いったんは自分自身を削除した上で履歴書のような文書ファイルを作成して表示し、開くとぜい弱性を突いて感染するボットでした。こうした形で、企業の中にもボットは入り込んでいると思われます。
ソリューションや認証制度に頼らない再発防止策が重要
三輪氏: 特に大きな企業での対策は難しくなると思いますが、その点はどうですか。
新井亨氏: どこの企業でも当然対策はしていると思いますが、大きくなると関連会社が多数あって、データセンターも国内外にあるというケースが少なくありません。そうすると、どこかから潜り込んでくる可能性は高いと考えて、相応の対策を実施するということになるのではないでしょうか。
また規模が大きくなると、均一に教育を実施し理解してもらうことも難しくなります。特に海外になると、もともと文化的にセキュリティという概念がない国もあり、これからどう対策を実施していくのかは大きな課題になると思います。
三輪氏: 政府系でのセキュリティ対策はどのように進んでいるのでしょうか。
満塩氏: そもそも国家公務員は2年に1回のペースで上から下まで異動が行われるため、特殊な部署以外はITの専門家はなかなか育ちにくいという背景があります。そこで補佐官制度があって、セキュリティに関してはアドバイザーを置こうという話になりました。ただ、そもそもITガバナンスがきちっと働いていないと、セキュリティ対策は難しい。そこで、ここ何年かでITガバナンスを強化してきたので、その次としてセキュリティを強化していくという流れになると思います。
三輪氏: 企業でインシデントが発生すると、再発防止策を検討して実施します。その効果はどうなんでしょうか。
新井悠氏: 再発防止策としてよくあるのがISMS認証やPマークを取得するというものですが、マネジメント的な対応をしても再び被害に遭うケースが多いと感じています。インシデントが発生すると、新しいソリューションや認証制度に走りがちですが、問題は運用をどうするかというところです。逆に、調査や分析は外部に委託しても、それ以上のことは自分たちで実施するという前向きな企業は成功していますね。
セキュリティでもレイヤーの切り分けが必要
三輪氏: 最近WAFの話をよく聞きます。セキュリティホールだらけのソフトウェアでも守れるWAFがあれば、ソフトウェアの開発コストを抑えられますよね。ソフトウェア開発の現状を考えると、セキュリティホールを出すなというのは難しい。そう考えるとセキュリティホールがあってもそれを守るソリューションがあるべきで、それが実現できればいいなと考えているのですが、その辺りはどうでしょうか。
歌代氏: 足りないところ、あるいは欠陥があることを前提に、使い続けなければならないという状況は必ず出てきます。そのとき、WAFはWebサイトに関して言えば1つのソリューションになると思います。もちろんWAFといっても、攻撃をすべて防げるわけではありません。ただ、一定の確率で被害を受けるということを前提としたときに、その確率を一桁下げられればドラスティックに被害を受ける可能性を低くできる、そういうことは言えるのではないでしょうか。
三輪氏: 一般的なシステム開発の現場では、ぜい弱性をなくす取り組みというのはしているんでしょうか。
新井亨氏: 当然、昔に比べるとセキュリティに配慮した開発は行われるようになりましたが、ただ業務効率とのバランスで難しい面もあると思います。そのあたりは環境でカバーするという考え方になります。たとえば、単純な例ですがデータはDMZ上に置かず、内側のネットワークに置くといった形です。プログラムですべて防げるというのは現実的ではないと考えていて、環境面である程度担う必要があるのではないでしょうか。
満塩氏: 開発などの現場の方々におけるセキュリティへの意識というところに関連するのですが、現状のセキュリティはマネジメントから技術まで知っていないと語れなくて、それをよいことだとは思っていません。たとえばネットワークなら物理層からアプリケーション層まであって、アプリケーションを開発する人は物理層を意識しなくてもいいようになっています。セキュリティに関してもレイヤーで切り分けて、ほかの層を意識せずに実装できるようにしないといけないと考えています。
--以上のように、セキュリティに関する現状や課題について、それぞれの立場からお話があり、濃密な1時間20分となりました。セキュリティ対策を考える上で重要なポイントも紹介されているので、ぜひ参考にしてください。