トークセッション
キーパーソンが語る！　企業セキュリティ対策のこれから

最後のセッションでは基調講演にも登壇した三輪信雄氏をモデレータに，「⁠キーパーソンが語る！　企業セキュリティのこれから」と題し，一般社団法人JPCERTコーディネーションセンター 代表理事　歌代和正氏，株式会社イマーディオ 代表取締役　満塩尚史氏，株式会社ラック サイバーリスク総合研究所 所長　新井悠氏，味の素システムテクノ株式会社 システム管理センター 専任課長　新井亨氏の4名を迎えてパネルディスカッションが行われました。その模様の一部をご紹介します。

企業の中にもボットは入り込んでいる

三輪氏：インターネット上で問題になっていることの1つとしてボットネットがありますが，現状ボットの感染規模は把握できているのでしょうか。

歌代氏：3年くらい前にボットの感染率の調査をしたときは，全体の利用者の約4％が感染しているという結果が出ています。さらに，無防備なパソコンをインターネットに接続すると，2～3分でボットに感染してしまいました。それが3年前の調査ですが，それよりも減っているとは思えないですね。

こうしたボットへの対策として，テレコムアイザックとJPCERT/CCが，総務省と経済産業省のバックアップを受けて「サイバークリーンセンター」というWebサイトを運営しています。ご存じない方がいたらぜひアクセスしていただきたいのですが，ここでボットの駆除ツールを配布しています。なおかつISPと協力して，実際にボットに感染している人に駆除ツールを使うように個別に連絡しています。

三輪氏：ボットを開発する側の人たちにも戦いがあって，開発者同士の抗争があるという話を聞いたことがあります。先に如何にPCに入り込むかというのが勝負で，たとえばボットがPCに入り込んだときに，別のボットが入っているとそれを削除したりするそうです。

こういうお話をしたのは，ボットの開発側は当然真剣で，投資も行っていますし技術力もあります。それに対して守る側は過去の常識に縛られていて，現実とずれてきているのではないかと感じているのではないかと思うからです。

それと気になるのは会社の中のPCがボットに感染しているのかどうかですが，実際のところはどうなんでしょうか。

新井悠氏：先日，お客様から“⁠どうも変なファイルを開いてしまったので見て欲しい⁠”という相談があって伺いました。そこでは人材募集をされていて，送られてきた履歴書を開いたということでした。その履歴書に見えるファイルを分析してみたところ，いったんは自分自身を削除した上で履歴書のような文書ファイルを作成して表示し，開くとぜい弱性を突いて感染するボットでした。こうした形で，企業の中にもボットは入り込んでいると思われます。

ソリューションや認証制度に頼らない再発防止策が重要

三輪氏：特に大きな企業での対策は難しくなると思いますが，その点はどうですか。

新井亨氏：どこの企業でも当然対策はしていると思いますが，大きくなると関連会社が多数あって，データセンターも国内外にあるというケースが少なくありません。そうすると，どこかから潜り込んでくる可能性は高いと考えて，相応の対策を実施するということになるのではないでしょうか。

また規模が大きくなると，均一に教育を実施し理解してもらうことも難しくなります。特に海外になると，もともと文化的にセキュリティという概念がない国もあり，これからどう対策を実施していくのかは大きな課題になると思います。

三輪氏：政府系でのセキュリティ対策はどのように進んでいるのでしょうか。

満塩氏：そもそも国家公務員は2年に1回のペースで上から下まで異動が行われるため，特殊な部署以外はITの専門家はなかなか育ちにくいという背景があります。そこで補佐官制度があって，セキュリティに関してはアドバイザーを置こうという話になりました。ただ，そもそもITガバナンスがきちっと働いていないと，セキュリティ対策は難しい。そこで，ここ何年かでITガバナンスを強化してきたので，その次としてセキュリティを強化していくという流れになると思います。

三輪氏：企業でインシデントが発生すると，再発防止策を検討して実施します。その効果はどうなんでしょうか。

新井悠氏：再発防止策としてよくあるのがISMS認証やPマークを取得するというものですが，マネジメント的な対応をしても再び被害に遭うケースが多いと感じています。インシデントが発生すると，新しいソリューションや認証制度に走りがちですが，問題は運用をどうするかというところです。逆に，調査や分析は外部に委託しても，それ以上のことは自分たちで実施するという前向きな企業は成功していますね。

セキュリティでもレイヤーの切り分けが必要

三輪氏：最近WAFの話をよく聞きます。セキュリティホールだらけのソフトウェアでも守れるWAFがあれば，ソフトウェアの開発コストを抑えられますよね。ソフトウェア開発の現状を考えると，セキュリティホールを出すなというのは難しい。そう考えるとセキュリティホールがあってもそれを守るソリューションがあるべきで，それが実現できればいいなと考えているのですが，その辺りはどうでしょうか。

歌代氏：足りないところ，あるいは欠陥があることを前提に，使い続けなければならないという状況は必ず出てきます。そのとき，WAFはWebサイトに関して言えば1つのソリューションになると思います。もちろんWAFといっても，攻撃をすべて防げるわけではありません。ただ，一定の確率で被害を受けるということを前提としたときに，その確率を一桁下げられればドラスティックに被害を受ける可能性を低くできる，そういうことは言えるのではないでしょうか。

三輪氏：一般的なシステム開発の現場では，ぜい弱性をなくす取り組みというのはしているんでしょうか。

新井亨氏：当然，昔に比べるとセキュリティに配慮した開発は行われるようになりましたが，ただ業務効率とのバランスで難しい面もあると思います。そのあたりは環境でカバーするという考え方になります。たとえば，単純な例ですがデータはDMZ上に置かず，内側のネットワークに置くといった形です。プログラムですべて防げるというのは現実的ではないと考えていて，環境面である程度担う必要があるのではないでしょうか。

満塩氏：開発などの現場の方々におけるセキュリティへの意識というところに関連するのですが，現状のセキュリティはマネジメントから技術まで知っていないと語れなくて，それをよいことだとは思っていません。たとえばネットワークなら物理層からアプリケーション層まであって，アプリケーションを開発する人は物理層を意識しなくてもいいようになっています。セキュリティに関してもレイヤーで切り分けて，ほかの層を意識せずに実装できるようにしないといけないと考えています。

－－以上のように，セキュリティに関する現状や課題について，それぞれの立場からお話があり，濃密な1時間20分となりました。セキュリティ対策を考える上で重要なポイントも紹介されているので，ぜひ参考にしてください。