予防策にのみ頼ってはいけない：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

9月11日に開催された第24回 ITmedia エグゼクティブセミナーの基調講演で、ラックの西本氏は情報セキュリティの最新トレンドについて語った。

[岡田靖，ITmedia]

　第24回 ITmedia エグゼクティブセミナー「報道では明るみにされないサイバー攻撃の真相　内なるリスクを知り、己を守るにはどうすべきか」が、9月11日に開催された。「ここまで来た！　機密情報を狙った情報セキュリティ事件の本質と対策」と題した基調講演には、日本最大級のセキュリティセンターJSOCの立ち上げに携わった、ラック セキュリティ事業統括専務理事の西本逸郎氏が登壇した。

セキュリティに関するユーザーの意識の偏り

ラック 西本氏

　西本氏は冒頭、情報セキュリティの基本、いわゆる「情報のCIA」について話を切り出した。confidentiality（機密性）、integrity（完全性）、availability（可用性）の頭文字を取った用語だ。

　「日本では、セキュリティといえば対象を守る意識が強く、『覗くな、覗かれるな』という意味でCを指すものだと思う人が多い。しかし本当に重要なのはA、すなわちサービスや事業の継続。Aのためにこそ、CもIも必要なのだ。どうやったらサービスや事業を継続できるかという視点で考えていく必要がある」（西本氏）

　情報セキュリティにおける策は数多くあるが、大きく分けると予防、抑止、防御の3つに分類できる。予防策は脅威に晒される対象（情報やシステムなど）に対して実施するものであり、端的にいえば脆弱性をなくすことで脅威の影響を受けないようにする、という策。抑止策は脅威に作用して脅威を減らす策、そして防御策は脅威が発生した際の損失を防止ないし軽減する策だ。この3つの策についても、やはり多くのユーザーの意識には偏りがあると西本氏は指摘する。

　「キレイな策として、最も好まれるのが予防策。しかし脅威の存在しないところまで予防しても意味がなく、非効率的。それどころか過剰な予防策が別の脅威を呼び込むこともある。逆に最も効率的な策は抑止策、脅威を減らすという効果は大きい」（西本氏）

　予防策の非効率性を示す一例を、アプリケーションサーバの運用にみることができる。動的なサイトを手軽に実現できることから多くのサイトで利用されている一方、その脆弱性は数多く発見されており、セキュリティパッチが頻繁に提供されている。予防策を徹底しようとすれば運用の負担は増大する。結局、その負荷の大きさに妥協した運用となっているケースは少なくないと思われる。

　「現実問題、頻繁にパッチを当てたりするような運用は長続きしない。多くのサイト運用者は、動的サイトを手軽に実現するという目的に適うなら『それでいい』、としているだろう。そのため、今後もアプリケーションサーバの脆弱性を突く攻撃は続くことだろう」（西本氏）

　予防策にのみ頼って不断の注意と対策を続けることができるのは、普通の組織では難しいといえるだろう。西本氏は、それを車の運転に喩えて説明する。

　「レースに出るようなプロのドライバーは、普通のドライバーと何が違うのか。運転技術もさることながら、集中力が違う。プロはレース中ずっと集中を切らさないが、素人はすぐに慣れてしまい状況判断が疎かになってしまう」

　誰もがプロのドライバーになれるわけではない。そもそもビジネスの上では、プロのドライバーであることが必要条件ではない。脆弱性をなくすために集中力を切らせないような運用を実践することが重要なのではなく、抑止策や防御策を併用し、普通のドライバーでも安全に運転できるような状況を作ることが望ましい。

攻撃者の動機により攻撃パターンは異なる

　攻撃者の動機はさまざまだ。初期のコンピュータウイルスを作ったのは愉快犯、後に営利などの目的で情報を窃取するといった活動が主流になってきたが、近年では主義主張を目的としたものや、国家レベルの諜報活動の一環と思われるものが台頭してきた。例えば「アノニマス」によるgo.jpドメインへのサイバー攻撃は、改竄されたサイトのメッセージなどから違法ダウンロード刑罰化や原発再稼働などへの抗議の意志を表すものとみられるが、今後さらに機密情報を盗んだり関係者のプライバシーを暴くなどして威力の高い攻撃を仕掛けてくる可能性もある。

　一方、標的型攻撃によるスパイ活動は、昨年頃から広く報道されようになったが、実はここ1〜2年で始まったものではない。ラックでは2008年に国内でのスパイ活動を観測しているという。ただし、最近では被害認知件数が急増している。

　「当社での対応数でみれば、2008年から2011年にかけて25件だったのに対し、2012年は6月末までの上半期で21件。ちなみに、2012年の21件中15件は侵入時期が2011年3〜5月とみられ、1年近くスパイに入り込まれたままだった。また3件は侵入時期が2009年12月〜2010年1月と、さらに長期間やられている。年賀メールから入ってきたものらしい。そして、全46件のうち管理者権限が奪われていなかったケースは2件のみ」（西本氏）