連載
» 2012年10月29日 08時00分 UPDATE

ITmedia エグゼクティブセミナーリポート:予防策にのみ頼ってはいけない (1/2)

9月11日に開催された第24回 ITmedia エグゼクティブセミナーの基調講演で、ラックの西本氏は情報セキュリティの最新トレンドについて語った。

[岡田靖,ITmedia]

 第24回 ITmedia エグゼクティブセミナー「報道では明るみにされないサイバー攻撃の真相 内なるリスクを知り、己を守るにはどうすべきか」が、9月11日に開催された。「ここまで来た! 機密情報を狙った情報セキュリティ事件の本質と対策」と題した基調講演には、日本最大級のセキュリティセンターJSOCの立ち上げに携わった、ラック セキュリティ事業統括専務理事の西本逸郎氏が登壇した。

セキュリティに関するユーザーの意識の偏り

nishimoto1.jpg ラック 西本氏

 西本氏は冒頭、情報セキュリティの基本、いわゆる「情報のCIA」について話を切り出した。confidentiality(機密性)、integrity(完全性)、availability(可用性)の頭文字を取った用語だ。

 「日本では、セキュリティといえば対象を守る意識が強く、『覗くな、覗かれるな』という意味でCを指すものだと思う人が多い。しかし本当に重要なのはA、すなわちサービスや事業の継続。Aのためにこそ、CもIも必要なのだ。どうやったらサービスや事業を継続できるかという視点で考えていく必要がある」(西本氏)

 情報セキュリティにおける策は数多くあるが、大きく分けると予防、抑止、防御の3つに分類できる。予防策は脅威に晒される対象(情報やシステムなど)に対して実施するものであり、端的にいえば脆弱性をなくすことで脅威の影響を受けないようにする、という策。抑止策は脅威に作用して脅威を減らす策、そして防御策は脅威が発生した際の損失を防止ないし軽減する策だ。この3つの策についても、やはり多くのユーザーの意識には偏りがあると西本氏は指摘する。

 「キレイな策として、最も好まれるのが予防策。しかし脅威の存在しないところまで予防しても意味がなく、非効率的。それどころか過剰な予防策が別の脅威を呼び込むこともある。逆に最も効率的な策は抑止策、脅威を減らすという効果は大きい」(西本氏)

 予防策の非効率性を示す一例を、アプリケーションサーバの運用にみることができる。動的なサイトを手軽に実現できることから多くのサイトで利用されている一方、その脆弱性は数多く発見されており、セキュリティパッチが頻繁に提供されている。予防策を徹底しようとすれば運用の負担は増大する。結局、その負荷の大きさに妥協した運用となっているケースは少なくないと思われる。

 「現実問題、頻繁にパッチを当てたりするような運用は長続きしない。多くのサイト運用者は、動的サイトを手軽に実現するという目的に適うなら『それでいい』、としているだろう。そのため、今後もアプリケーションサーバの脆弱性を突く攻撃は続くことだろう」(西本氏)

 予防策にのみ頼って不断の注意と対策を続けることができるのは、普通の組織では難しいといえるだろう。西本氏は、それを車の運転に喩えて説明する。

 「レースに出るようなプロのドライバーは、普通のドライバーと何が違うのか。運転技術もさることながら、集中力が違う。プロはレース中ずっと集中を切らさないが、素人はすぐに慣れてしまい状況判断が疎かになってしまう」

 誰もがプロのドライバーになれるわけではない。そもそもビジネスの上では、プロのドライバーであることが必要条件ではない。脆弱性をなくすために集中力を切らせないような運用を実践することが重要なのではなく、抑止策や防御策を併用し、普通のドライバーでも安全に運転できるような状況を作ることが望ましい。

攻撃者の動機により攻撃パターンは異なる

 攻撃者の動機はさまざまだ。初期のコンピュータウイルスを作ったのは愉快犯、後に営利などの目的で情報を窃取するといった活動が主流になってきたが、近年では主義主張を目的としたものや、国家レベルの諜報活動の一環と思われるものが台頭してきた。例えば「アノニマス」によるgo.jpドメインへのサイバー攻撃は、改竄されたサイトのメッセージなどから違法ダウンロード刑罰化や原発再稼働などへの抗議の意志を表すものとみられるが、今後さらに機密情報を盗んだり関係者のプライバシーを暴くなどして威力の高い攻撃を仕掛けてくる可能性もある。

 一方、標的型攻撃によるスパイ活動は、昨年頃から広く報道されようになったが、実はここ1〜2年で始まったものではない。ラックでは2008年に国内でのスパイ活動を観測しているという。ただし、最近では被害認知件数が急増している。

 「当社での対応数でみれば、2008年から2011年にかけて25件だったのに対し、2012年は6月末までの上半期で21件。ちなみに、2012年の21件中15件は侵入時期が2011年3〜5月とみられ、1年近くスパイに入り込まれたままだった。また3件は侵入時期が2009年12月〜2010年1月と、さらに長期間やられている。年賀メールから入ってきたものらしい。そして、全46件のうち管理者権限が奪われていなかったケースは2件のみ」(西本氏)

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
【入会条件】上場企業および上場相当企業の課長職以上

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。

会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。

Loading

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆