クラウド志向やウイルス事件で浮き彫りになった企業セキュリティの課題（1/3 ページ）

このほど開催された「重要インフラ情報セキュリティフォーラム」では、ラックの西本逸郎常務が基調講演に登壇した。同氏は近年発生した数々のセキュリティ事件を題材に、企業のセキュリティ対策が抱える問題点を指摘している。

[國谷武史，ITmedia]

　情報処理推進機構とJPCERTコーディネーションセンター主催のセミナー「重要インフラ情報セキュリティフォーラム2010」がこのほど都内で開催され、ラックの常務兼最高技術責任者の西本逸郎氏が基調講演に登壇した。講演では近年発生したセキュリティ事件を題材に、同氏が企業のセキュリティ対策に潜む問題点を取り上げている。

クラウドサービスの落とし穴

西本氏

　西本氏は近年のITサービスに潜むセキュリティ問題として、2つの事件例を紹介した。1つは、IP-VPNサービスを提供する事業者でのウイルス感染、もう1つはGumblar型攻撃によるWebサイトの改ざんである。

　IP-VPNサービスにおけるウイルス感染では、あるユーザー企業の仮想ネットワークでウイルスが広がり、ほかのユーザーが利用する仮想ネットワークにも拡散した。ユーザー企業から見ればネットワークは異なるはずであり、ウイルスが広がるはずがないと考えがちだ。だが、感染の広がりは脆弱性を抱えた事業者の管理システムを経由して起きていた。

　Gumblar型攻撃によるWebサイトの改ざんは、サーバホスティング事業者で起きた場合に、すべてのユーザー企業のシステムに影響する恐れがある。例えば事業者がFTPを管理者権限で一括管理できるようにしていれば、管理者権限が突破されるとサービスインフラ全体に被害が発生する。ネットワーク構成に脆弱性があれば、やはり深刻な被害が生じる恐れがある。

　西本氏は、こうしたサービスでユーザーごとに提供される「仮想○○（サーバやネットワーク、ストレージなど多数）」の実体は事業者のインフラであるものの、ユーザー企業がそのように認識しないことも多いと指摘する。「管理者は何でもできる立場。それだけにサービス事業者の信頼性が極めて重要になる」（同氏）。「仮想」サービスでは、ユーザー企業が起こらないだろうと思い込みがちな攻撃が成立してしまう可能性が高いという。

　最近のクラウドコンピューティングに代表される仮想型サービスは、コストや運用の柔軟性などのメリットから多くの企業が注目する。その一方、サイバー攻撃者もクラウドコンピューティングに注目しているといい、パブリック型クラウドのサービスを犯罪に悪用したり、犯罪者向けにサービスを提供する業者が出現したりするなど、脅威の面でも流行化している。

　「クラウドコンピューティングの出現によって、ITサービスの競争が世界規模で始まった。サイバー犯罪にもクラウドが使われている。セキュリティをはじめとするサービスの品質がどうあるべきかを考えてほしい」（西本氏)