Special
» 2019年09月09日 10時00分 公開

横浜国大の吉岡先生に聞く:Vol.2:教えて! サイバーセキュリティ

[PR/ITmedia]
PR

 サイバー攻撃といえばすでに使用しているPCを狙うもの――それは危険な思い込みなのかもしれません。購入したばかりのPCにウィルスがすでに侵入している、そんな攻撃も現実にあると、サイバーセキュリティを専門に研究している横浜国立大学の吉岡克成先生はいいます。今さら聞くに聞けないサイバー攻撃の実態と対策について、吉岡先生に教えていただきました。

photo

横浜国立大学

大学院環境情報研究院/先端科学高等研究院

准教授

吉岡 克成 氏

2005年に横浜国立大学にて博士(工学)取得。2019年現在は横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授として活動の傍ら、情報通信研究機構(招聘専門員)、産業技術総合研究所(客員研究員)など、各種研究機関で情報セキュリティ関連の研究に携わると共に、総務省 サイバーセキュリティタスクフォース等、政府有識者委員を多数務めている。




Q1.サイバー攻撃のトレンドは、どのようになっているのでしょうか?今の時点における最新の動向をぜひ教えてください。

吉岡先生 わかりました。特に注意を要するポイントをお話しましょう。

 取引先のメールアカウントを事前に乗っ取り、取引先になりすましたメールを用いて、本来の標的である企業や組織を狙う攻撃や、一時期話題になった、重要なデータを人質に身代金を要求するランサムウェアなど、非常に巧妙で手の込んだ攻撃が増えており、ますますセキュリティ対策が難しくなってきています。

 さらに、企業や組織に導入されたPCやシステムが稼働を始める前の段階から、すでにサイバー攻撃が始まっているという、より悪質なものもあります。

 どういうことかというと、機器やソフトウェアの設計から製造、配布の過程ですでに悪意のある改ざんや不正なソフトの混入が行われている可能性があるということです。

 最近では、モバイル機器にマルウェアがプレインストールされているという事例が多数確認されていますが、過去には、出荷時のPCが既にマルウェア感染していたという報告もあります。

 OSやPCに備わっているセキュリティ機能が意味をなさなくなり、重要な情報の漏洩につながるだけでなく、他社への攻撃に悪用されたり、システムを破壊する行為の起点にもなってしまうこともあるのです。

photo


Q2:そんなサイバー攻撃もあるのですね。納品されたPCが改ざんされていたら対処のしようがないと思いますが?

吉岡先生 PCにはさまざまなパーツが使用されています。ひとつひとつの部品が調達され、ハードウェアとして組み立てられ、ファームウェアやBIOSと呼ばれるもっとも基本的なプログラムが組み込まれ、さらにOSやアプリケーションがインストールされて、PCは1つの製品として完成します。また、製品として完成した後には、メーカー/ベンダーの工場から販売会社などに配送され、お客様のもとに納入され、利用されるわけです。そのどこかの段階で攻撃が実施されるのですから、ひとことで「こうすれば大丈夫」と言い切るのは難しいというのが正直なところです。

 まず第一に、信頼できる企業が作っているのか、つまり製造から納入、廃棄に至るライフサイクル全体のセキュリティに対して、きちんとした対策をしているメーカー/ベンダーなのかということが非常に大事になっていると考えられます。

 また、製品自体にも不正な改ざんに対する対策がなされていると、より安心できるといえるでしょう。製造中に不正なチップを挿入するという攻撃も怖いですが、配送中の製品のファームウェアに何らかの書き換えを行ったり、不正なアプリケーションの追加を行うというソフトウェア的な改ざんの方が技術的に容易です。

 これに対して、ファームウェアやOS、アプリケーション等の改ざんを防止するようなソリューションを組み込んだセキュリティ対策は非常に有効な手段であると思います。



Q3:では、信頼できるメーカー/ベンダーをどのように見極めればいいのか、何を基準に選べばいいのか、教えてください。

吉岡先生 製造の現場では、効率などが重視され、製品のセキュリティに焦点が当てられていない場合があります。先ほど述べた通り、製品のライフサイクルを通じてセキュリティを重視し、万が一問題が発生した場合には迅速に対応可能な体制や技術を有しているメーカー/ベンダーを選ぶことが重要です。安かろう悪かろうではないですが、目先のコストにとらわれてリスクのある選択をするのではなく、セキュリティにしっかりと投資をしている製造者を選ぶ意識を持つことが重要だと思います。

photo

 ただ、そのような製造者の技術水準や体制を客観的に判断することは難しいため、何らかの指標が必要となります。そのため、製造者やサービス提供者が満たすべきセキュリティ要件が定められたガイドラインや技術基準が示されており、代表的なものに米国の国立標準技術研究所(NIST)が策定している「NIST SP-800」シリーズがあります。

 日本政府も国際的に評価されているセキュリティ標準として重視しているものです。製造者がこれらに対応しているかは、大きな判断材料といえると思います。




世界で最も安全*なHPのビジネスPCならその選択が安全な会社の将来を約束します。


株式会社 日本HP

サービス・ソリューション事業本部 クライアントソリューション本部

大津山 隆 氏

セキュリティに特化した研究所で多彩なソリューション、機能を開発

 HPは最先端技術の研究機関として「HP Labs」を保有し、そのセキュリティ部門は長年に渡ってサイバー攻撃の手口とその対策の研究を続けています。また古くからTCG、NIST、ISO等の標準化団体と協力し、先端技術の開発と同時に標準化にも積極的に貢献してきました。特に現在の脅威に対応するデバイスに必要とされる「レジリエンス=正常な状態への復旧」の仕様をまとめた「NIST SP800-193」に対しては早い段階から協力し、自社製品への実装のみならず、その仕様化にも貢献してきました。HPがセキュリティ標準への対応を業界に先駆けて行うことができるのも、このような最新技術の開発とその標準化をリードする方針の賜物です。その一部をご紹介しましょう。


HP独自の自己回復型BIOSでPCの根本をガード──「HP Sure Start」

 PCのもっとも基本的なプログラムであるBIOSの改ざんに対し、「NIST SP800-193」に準拠した方法で予防、検知、復旧を実現します。PCの電源が入るたびに実行され、攻撃による改ざんや破損など、不正な状態であることを検知すると自動的に正常な状態に復旧します。独自のセキュリティチップ「HP Endpoint Security Controller」を利用し動作の信頼性を担保しています。


「信頼の基点」を提供する心臓部──「HP Endpoint Security Controller」

 HP Endpoint Security Controllerは、HPが独自に開発し、第三者機関で認証されたセキュリティ専用のチップです。HP Sure Startなどのセキュリティ機能に信頼の基点を提供し、確実な動作を保証します。 CPUやメモリなどから電気的に隔離され動作するため、極めて攻撃の対象になりにくい構造になっています。


セキュアな製品をセキュアに作る──「東京生産/サプライチェーンセキュリティ対策」

 HPでは製品のライフサイクル全般におけるセキュリティ対策を重視しています。セキュアに製品を作るためのプロセスを厳格に実行し、製品に使用されるすべての電子部品に対し、米国国防総省の厳格な基準を満たすことを全世界における調達基準としています。また、日本で供給するビジネスPC製品の多くを東京の工場で生産。品質に厳しい日本のお客様のご要望にお応えし、セキュリティにも確かな品質を付与できるよう、力を尽くしています。


photo
photo
photo

この記事は日本HPの協力のもと、ITmedia NEWS編集部で一部編集したものです。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社 日本HP
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2019年9月15日