ビジネスを脅かす危機に備えよ セキュリティリスク再点検と最新対策：ITmediaエンタープライズ ソリューションセミナー レポート（1/2 ページ）

ITmediaエンタープライズ編集部主催ソリューションセミナーがこのほど東京、大阪で開催され、標的型攻撃など企業を脅かすセキュリティ脅威の最新動向と対策をテーマに、専門家とセキュリティ企業各社による解説が行われた。

[國谷武史，ITmedia]

　ITmediaエンタープライズ編集部主催のソリューションセミナー「ビジネスを脅かす危機に備えよ　セキュリティリスク再点検と最新対策の導入術」が2011年12月6日に東京、9日に大阪でそれぞれ開催された。標的型攻撃など企業のビジネスを脅かすセキュリティ脅威の最新動向や対策術をテーマに、セキュリティの専門家やベンダー各社が講演を行った。その内容をダイジェストでレポートする。

世界と日本のサイバー攻撃の違いと対策の視点

S&Jコンサルティング 代表取締役社長 三輪信雄氏

　冒頭の基調講演は、S&Jコンサルティング 代表取締役社長の三輪信雄氏が「レガシーと最新セキュリティ対策の統合」と題して、世界と日本でのサイバー攻撃事情や対策の視点を取り上げた。

　2011年は、「サイバー攻撃」の文字がニュースなどで頻繁に登場するようになったが、実際には（1）不特定多数の集団によるWebサイトへの攻撃、（2）「APT（Advanced Persistent Threat）」と呼ばれる企業のイントラネットを標的にしつこく侵入する攻撃、（3）個人情報やクレジットカード情報などを狙う攻撃――に大別されると三輪氏。（1）は不特定多数の悪質なハッカー集団が企業に攻撃を仕掛け、それを成果として自慢する。（2）は特定企業の機密情報などを盗み出すために攻撃を執拗に継続する。（1）と（2）の攻撃が2011年に日本企業を騒がせたものであった。

　だが海外ではこれらの攻撃が数年前から既に多数発生し、2009年のAurora攻撃やStuxnet攻撃が話題になった、三輪氏は狙われた組織での対応において、海外と日本では幾つかの相違がみられると指摘する。

　例えば、2011年5月に米防衛産業大手のLockheedが狙われたケースで、同社は攻撃の兆候を検知し、米連邦政府への詳細な報告や報道発表を1週間ほどで行って事態を収束させた。一方、日本では攻撃の検知から調査対応、関係機関との連絡・調整までにかなりの時間を要するケースが相次いだ。

　特定の企業や組織を狙う攻撃は、相手を巧妙にだましたり、既存のセキュリティ対策を回避したりするのが特徴。三輪氏は、新しい脅威に既存の対策を整理・統合して弱点を補っていく方法を勧める。そこでは（1）脅威の侵入をいち早く検知、（2）影響を短時間で正確に調査、（3）被害拡大の阻止――が求められるという。対策手法としては例えば、脅威を迅速に検知するには統合ログ管理による監視、Webシステムでは脆弱性の存在を前提にした防衛手段（Webアプリケーションファイアウォールなど）の導入などがある。

　三輪氏は、日本の企業や組織を狙う攻撃は海外に比べると、まだ“レベルが低い”という。それは既知の脆弱性を悪用するといった、多少のノウハウがあれば誰でも行えてしまう程度の内容だが、海外のような高度な攻撃へと急速にシフトしつつある。最後に三輪氏は、「今の攻撃者は企業関係者の人間関係や人事情報の把握に注力している。SNSなどを使えば簡単に調べられるが、日本の企業はこうした情報の重要性を認識できていないところが多い」と警鐘を鳴らしている。

2011年に見られた脅威の裏側

ラック JSOC チーフエバンジェリスト 川口洋氏

　ラック JSOC チーフエバンジェリストの川口洋氏による特別講演「インターネットセキュリティ最前線」では、同氏が大規模な個人情報の漏えい事件や標的型攻撃の特徴を解説した。

　国内外の企業で多発した個人情報の大規模漏えい事件では、主にアプリケーションサーバの脆弱性が悪用された点が注目されるという。攻撃で悪用された脆弱性には既知のものが含まれ、被害に遭った企業で適切な対策が講じられていなかったように思われがちだが、川口氏は停止や中断がほとんど許されないアプリケーションサーバではパッチ適用などの基本的な対応が非常に難しいだけに、企業単体での取り組みには限界があるとの見方を示した。

　対策面でもアプリケーションサーバに関しては行き届いていない実態があるという。例えば、IPSやIDSの製品、サービスの中でアプリケーションサーバに対する攻撃を検知できるものは少なく、また、アプリケーションサーバを安全に実装するために必要な情報の提供やエンジニアの習熟も十分ではない。数々の事件からアプリケーションサーバのセキュリティ対策に関わる課題が浮き彫りになり、今後の改善が期待されるが、川口はまずWebアプリケーションなど公開型システムの再点検を早急に行うべきとアドバイスしている。

　標的型攻撃では特に、防衛産業の企業や政府機関などの機密情報が狙われる事件に注目が集まった。これらの事件で多用されたのが、関係者を巧妙にだますメールで不正プログラムを送りつける手口。「怪しいメールは開かない」などの対策が提唱されているものの、メールの内容は非常に精巧に作成され、「そもそも受信者に警戒心を抱かせないだけに非常にやっかいな存在だ」と、川口氏は対策の難しさを指摘する。

　標的型攻撃に備えるには、脅威の侵入を防ぐ「入口対策」と、万が一脅威が侵入しても、その影響を可能な限り抑え込む「出口対策」、そして、社員など組織関係者への教育や啓発が重要とされる。だがこれらはすぐに実現できるものではなく、入念な取り組みと時間を要する。

　そこで川口氏は、すぐに着手できる対策として、Adobe Reader／AcrobatでJavaScriptを無効にする、外部アプリケーションでの起動をさせないなどの方法を紹介した。標的型攻撃に使われるメールには、OfficeやPDFなどのアプリケーションを悪用してコンピュータに感染する不正プログラムが添付されている場合が多い。攻撃者が狙う部分にピンポイントで対処しつつ、こうした脅威による被害を軽減していく包括的なアプローチを適切に講じるべきとしている。

セキュリティ対策の視点を変える

ティーシーニック 代表取締役 セキュリティプロデューサー 新倉茂彦氏

　東京会場ではティーシーニック代表取締役セキュリティプロデューサーの新倉重彦氏による特別講演「『視点から変える』中堅・中小企業のセキュリティ強化実践編」も行われた。

　セキュリティは難しい、つまらない――多くの人が抱くこうしたセキュリティへの意識は、対処すべき範囲があまりに広いことや、理想論ばかりが語られること、自分自身に身近なものとしては捉えにくいことなどに起因するという。新倉氏はセキュリティ対策 を少しでも身近であり簡単なものとするには、視点を変えてみることが大切だと語る。

　視点の持ち方は、（1）相手を知る、（2）弱点を知る、（3）反対側を考える――の3つがポイントになる。そして、（1）自分が“やらない”ことは何か、（2）相手なら“どうするか”、（3）自分にとって“最も嫌なこと”は何か――を日常的な行動に照らして考えるというのが、セキュリティの考え方だという。

　例えば、トイレやエレベータで知人や同僚に会うと思わず気が緩み、雑談が弾んでしまうことがある。トイレなら個室に、エレベータならその場に居合わせた第三者が雑談に耳を傾けているかもしれない。当事者にとっては何気ないつもりでも、第三者には魅力的な情報を入手できるチャンスであり、話の内容によってはそれが情報漏えいにつながりかねない。こうした視点の違いは当事者自身ではなかなか意識しづらいが、視点を変えてみれば、第三者に情報を知られないようにすべきポイントが見えてくる。

　企業におけるセキュリティ対策では、セキュリティを優先すれば業務上の制約が増え、逆に業務効率を優先すればセキュリティが脆弱になるといった思考に陥る場合が少なくない。その結果として講じられたセキュリティ対策は、実効性が乏しいものになりがちであり、技術やシステムに依存したものになってしまうこともある。

　新倉氏は、「セキュリティの思考は表裏一体。意識しないものは見えない」と語る。企業が実効性のあるセキュリティ対策を実現するためには、「視点を変えてみる」という基本姿勢を強く意識すること不可欠になる。従来とは異なる視点で日々の業務を捉えてみれば、今まで気付くことができなかった課題や解決のためのヒントが見えてくるだろう。