基調講演
情報セキュリティの負の連鎖へ立ち向かう
～Fraud Computing

「セキュリティ対策最適化セミナー」は，三輪信雄氏（S＆Jコンサルティング）による「情報セキュリティの負の連鎖へ立ち向かう～Fraud Computing」と題した基調講演で幕を開けました。情報漏えいやWebアプリケーション，さらにはクラウドコンピューティングなど，幅広い領域でのセキュリティ対策の課題について解説が行われました。

教育は再発防止にはならない

個人情報の漏えいが大きなニュースとして取り上げられるようになってからというもの，多くの企業でセキュリティ対策が進められています。しかし現実には，いまだに情報漏えいのニュースは後を絶ちません。こうした状況の背景には不景気があると，S＆Jコンサルティングの三輪信雄氏は語ります。

「昨今の不況によって残業代をはじめとする報酬のカットが行われるようになり，従業員のモチベーションは低下しています。こうなると，情報を悪意で持ち出そうと考えても不思議ではありません。個人情報を売買するためのスキームはすでにできあがっていて，ニュースを見ていれば個人情報がどれくらいの額で売れるのかも分かります。コピーして持ってくるだけなので，罪悪感が少ないことも原因の一つと言えるでしょう」

こうした状況を改善するべく，従業員のセキュリティ教育に投資する企業は少なくありません。しかし三輪氏は，「⁠多くの会社で情報セキュリティ関連の教育を実施しています。しかし遊びにお金を費やして困り果て，顧客の個人情報を持ち出して売ってしまうような人がいる会社でいくら教育をしても再発防止にはなりません」と抜本的な対策にはならないとの認識を示しました。

具体的な対策の例として，三輪氏はセキュリティについて集中的に監視と運用を行う「プライベートセキュリティオペレーションセンター（PSOC）⁠」の構築を挙げます。「⁠特定のクライアントPCをピンポイントで監視するなどといったことを行う，PSOCを社内に構築するといった企業が徐々に出始めています。再発防止にはこうした仕組みを作ることが重要であり，従業員の教育などは後でもいいのではないでしょうか」

ぜい弱性があることを前提に防御策を構築

内部犯行と同時に，情報漏えいの原因として増えているのがWebアプリケーションのぜい弱性を狙った外部からの攻撃です。SQLインジェクションなどの手法によってWebサーバを介してデータベースに侵入，そこに蓄積されている個人情報を盗むという手法です。

根本的な対策としては，開発時点でぜい弱性を解消しておくことが挙げられ，そのため開発エンジニアにセキュリティ教育を実施する企業は少なくありません。しかしこうした施策を実施しても，現実的にぜい弱性を解消するのは難しいと三輪氏は語ります。

「どれだけ気をつけてもSQLインジェクションなどにつながるぜい弱性はいくらかの確率で残ってしまいます。もちろん，エンジニアへの教育を実施するに越したことはありませんが，だからといって後工程のコストが不要になったり，開発と運用のトータルコストが安くなるということはありません。どうしてもある程度問題は出てくるわけで，それを安価にキャッチアップすることが重要だと考えています」

続けて，前工程でどれだけ気をつけてもぜい弱性が残るのであれば，それをシステム的に塞ぐ方法を考えるべきであると説明します。

「ぜい弱性をWAF（Web Application Firewall）で防いでしまえば，ぜい弱性検査自体が不要になるかもしれません。また，ぜい弱性検査には見つけやすいものと見つけにくいものがあるので，見つけにくいものをWAFで塞いでいくわけです。このように検査とセキュリティ技術をうまく組み合わせて，ぜい弱性という穴を防いでいけば，むやみに全数検査を行わなくてもコストを落としていけると思います」

ログ取得はまず目的を明確化することが重要

現在，企業セキュリティにおいて，さまざまなデバイスから出力されるログを有効活用しようという機運が高まっています。これに対して三輪氏は，「⁠ログを取っているからといって情報漏えいを防ぐことはできません。ログを取った後にアクションを起こさないと意味がないわけですが，多くの企業ではログは取りっぱなしで有効に活用されていません」と現状を説明します。

続けて「メールによる情報漏えいが不安，あるいは掲示板の書き込みが心配という前提があり，その対策の一環としてログを取りましょうという話になるわけです。そうした目的によって，ログの分析に求められるスキルも変わってきます」と，目的意識を持つことが重要だと語ります。

現在，複数のデバイスから出力されたログを統合管理するソリューション，あるいはログを分析するためのソリューションが各社から提供されています。ただこれらを導入する前に，改めてログ取得の目的を明確にし，自社に必要なソリューションを見極めるべきだと言えるでしょう。

クラウドに機密データは置けない

企業のIT環境に大きな影響を与えるものとして，クラウドコンピューティングに注目が集まっています。しかし現在のところ，クラウドのセキュリティに関しては大きな話題となっていません。三輪氏は想定事例をもとに，クラウドコンピューティングのセキュリティ面での不安を指摘します。

「たとえば海外の大きなクラウドサービスを使っていて，どうも顧客情報が漏れたらしいということになったとしましょう。企業としては，当然事実を確認するためにサービス提供事業者に問い合わせるわけですが，こちらからは漏れていないとの返答がきます。それを確かめるためにアクセスログの開示を求めますが，これも拒否されてしまう可能性は高いと考えています」

アクセスログの開示が拒否されるであろう根拠として，三輪氏はサービス提供事業者のコスト面の問題，そして法整備が不十分であることを挙げます。

「そもそも世界各国のデータセンターに分散されているサーバのアクセスログを取得していると，膨大なコストとなってしまいます。そのため，サービス提供事業者にとってはコスト削減対象になっているかもしれません。また，法的な整備も整っていないため，アクセスログの提出が拒否されて裁判ということになれば，長い時間が費やされる可能性があります」

当然アクセスログがなければ情報漏えいの事実を確認できず，説明責任を果たすことはできません。情報漏えいの側面から見た場合には，現状のクラウド利用にはこうしたリスクが存在することを示し，続けて「確かに安価ではありますが，顧客情報など機密データは置けないと考えています」と，リスクを考慮して用途に応じて使い分けることが重要であると解説しました。