標的型攻撃では実在の人物や組織になりすましたメールがよく使われる。インターネットイニシアティブの久保田範夫氏は、なりすましメール対策として「SPF認証」や「DKIM認証」の利用を推奨する。
SPF認証ではSPFレコードを使って正しい送信元であるかを確認する。DKIM認証ではメールの電子署名を確認する。自社に届くメールが正規の送信者によるものかを確認しつつ、自社のメールアドレスがなりすましに悪用されない点でも効果的だという。特に日本政府機関でのSPF対応は2012年3月時点で97%に達している。
メールセキュリティではなりすまし対策以外にも、スパム/マルウェア対策や誤送信による情報漏えい防止など取り組むべき課題は多い。同社では統合型のメールセキュリティサービス「IIJ セキュアMXサービス」を提供しており、ユーザー企業が負担をかけずにメールを安全に利用できるようにするための支援を行っているという。
企業のWebサイトがサイバー攻撃の踏み台にされるケースも多い。本来なら設計〜テストの工程で脆弱性を排除することが望まれるが、実際にはついつい後回しにされてしまいがちだ。日本ベリサインの上杉謙二氏(大阪会場は林正人氏)は、「事前にセキュリティを講じるのが理想的だが、現実には人材面やコスト面などから難しいため、運用面での対応が望まれる」と解説する。
同社はSSLサーバ証明書の付加サービスとしてマルウェアスキャンと脆弱性診断を提供しており、後者のサービスでは外部から定期的にWebサイトの脆弱性を検査して、サイト管理者に状況をレポートする。緊急性の高い脆弱性が見つかれば、優先的に対処してリスクを低減していける。
運用の都合で脆弱性解決が難しいという場合には、Webアプリケーションファイアウォールも推奨する。自社運用では高度なノウハウが要求されるが、これを支援するクラウドサービスもあるという。
サイバートラストの北村裕司氏は、スマートデバイスのセキュリティ対策では「利用シーンが明確でないと、脅威の洗い出しも具体的対策の検討もできない」と指摘する。
ここでは持ち運びのしやすさやネットワークへの常時接続性といったスマートデバイスならでは特性を踏まえ、利用目的に合うように対策を講じることになる。それと同時に、セキュリティ対策の基本でもある多層的防御の考え方も必要だという。モバイル活用ではデバイスやネットワーク、アプリケーション、運用ルールなど観点で情報資産を守ることが求められる。
このため同社は、多層的防御で求められるスマートデバイスのセキュリティ対策を提供。アプリの脆弱性診断から端末管理、通信の保護、認証、Webシステムでの対策までをカバーする。これを活用して「本来の利用目的を損なわないようセキュリティを選択することが望ましい」(北村氏)とアドバイスしている。
スマートデバイス活用が叫ばれる中で、デルの守川啓氏は、エンドポイントセキュリティの見直しを提起する。脆弱性を悪用するマルウェア攻撃が年々増えており、ノートPCやスマートフォンを利用したモバイルワークスタイルも広がっているためだ。
モバイルを考慮したエンドポイントのセキュリティ対策ではパッチ管理やポリシーの適用、USBメモリなどの制御、盗難・紛失時における対応がポイントになる。パッチ管理では脆弱性の把握と検証、適用というサイクルを回すことでサイバー攻撃のリスクを低減させる。盗難・紛失時にはデバイスをロックダウンさせて悪用を防ぐ。これらの対策を日々適切に運用することが求められる。
同社ではエンドポイントの運用管理を支援するものとして、「KACE」というアプライアンスを提供する。上記の運用上の観点を網羅しつつ、セキュリティ診断やパッチ適用といった作業を効率的に行える。マルチベンダーによるオープンなシステム環境を保護するのが狙いだという。
日本IBMの南郷理恵子氏は、クライアントデバイス管理でも特に脆弱性対策の重要性を挙げる。同社の東京セキュリティ・オペレーション・センターの調査によれば、クライアントデバイスに対する攻撃の99.8%が既知の脆弱性を突くものであり、パッチ適用や最新版へのアップデートが必須だという。
スマートフォンやタブレット端末、BYODへの対応要求も強まる昨今、同社ではエンドポイントのシステム管理とセキュリティの管理を統合的に行うことを企業に提案。そのソリューションとして「IBM Endpoint Manager」を提供する。
実際に自社でもIBM Endpoint Managerで約65万台のデバイスを管理している。例えば、パッチ適用率はユーザーに依存していた従前は5日以内で92%だったが、強制適用するようになった現在では24時間以内で98%に向上。南郷氏は、「統合的な管理でセキュリティレベルを均一に保つべき」と話す。
サイバー攻撃の標的にされやすい公開型のWebシステムのセキュリティ対策について、SCSKの手柴雄矢氏は「多層防御」「セキュリティ要件」「運用負荷の低減」という3つの観点がポイントになると解説している。
多層防御ではネットワーク、サーバ、アプリケーション、クライアントの各レイヤで対策を講じるが、個別ではなく総合的な視点でリスクレベルの高い部分へ積極的に講じるべきという。セキュリティ要件は開発など早い段階から考慮していく。運用段階に先送りすれば、かえって高コストになりかねないためだ。
運用開始後のパッチ適用や改修などに伴うコストを抑制するには、安定稼働やリスク低減とのバランスで自社の対応ルールを定めておく。場合によっては専門サービスの活用も効果的であり、同社ではこれらを支援するためにセキュアなアプリケーションの開発やWAFの運用、セキュリティ監視といったさまざまなサービスを提供している。
ツールだけでは守れない!Webアプリケーションを防御する3つの秘訣とは?
Webサイトの脆弱性を狙った攻撃による被害は後をたたず、こうした攻撃への対策を施すことは、企業の事業継続のために必要不可欠となっている。
本セッションではWebサイトのセキュリティ対策をどのように実施すれば良いかお悩みの企業様に、Webアプリケーション防御の3つの秘訣と、セキュアなWebを開発する為に必要なポイント、導入後の運用方法について、適切かつ現実的な対策方法を紹介する。
Webキャストの紹介ページへ (TechTargetジャパン) |
Copyright © ITmedia, Inc. All Rights Reserved.