サイバー攻撃から学ぶIT経営時代のセキュリティ対策:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
「もはや対処療法では守り切れない! サイバーテロ時代の情報セキュリティ」をテーマに「第27回 ITmedia エグゼクティブセミナー」を開催した。サイバーテロや情報漏えいなどのリスクは、どの企業にもあるということを前提としたプロセスづくりや体制づくりをはじめとする新たなアプローチについて紹介された。
9月11日都内で「第27回 ITmedia エグゼクティブセミナー」を開催した。今回のテーマは、「もはや対処療法では守り切れない! サイバーテロ時代の情報セキュリティ」。サイバーテロや情報漏えいなどのリスクは、どの企業にもあるということを前提としたプロセスづくりや体制づくりをはじめとする新たなアプローチについて紹介した。
まず敵を知り有効な対策を施す
基調講演にはラックの取締役 CTO、サイバー救急センター 調査員の西本逸郎氏が登壇した。ラックでは、サイバー攻撃の目的を、愉快犯、市場支配、主義主張、金銭、権益拡大、ストーカーの6つのタイプに分類している。西本氏は、「サイバーセキュリティ対策の大原則は、まず敵を知ることである。攻撃がどのタイプなのか、相手の最終目標な何なのかを把握しなければ、有効な対策を施すことはできない」と言う。
例えば、主義主張のサイバー攻撃の1つに「918」と呼ばれている事象がある。1931年9月18日の満州事変にあわせて、2010年〜2012年の3年間、毎年9月に定例化しているサイバー攻撃である。2010年9月7日の尖閣諸島中国漁船衝突事件や、2012年9月11日の尖閣諸島の国有化を機に、その後3年間、同じ組織名のサイバー攻撃が激化している。
「ラックのセキュリティ監視センターであるJSOC(Japan Security Operation Center)の観測によると、昨年は9月11日から攻撃が増加した。有名、無名に関わらずウェブサイトの改ざんは非常に多い。特にアプリケーションサーバやCMSを利用したウェブサイトでの被害が多い」(西本氏)
セキュリティ対策の基本は、抑止策、予防策、防御策の大きく3つ。抑止策は効果的で、抑止することで犯罪は起きないが、やることは限られる。そこでファイアウォールの設置やウイルス対策ソフトを導入する防御策が有効になる。ただし、これまでの防御策は、侵入を防ぐ入口対策だったが、今後は侵入されることを前提にした出口対策も重要になる。
また真中の王道としての対策は予防策であり、従来から実施されているセキュリティ対策である。さらに関係者の事業継続や侵入者の目的の封じ込めなどの対策も重要になる。こうした対策が自社の事業継続につながる。そのほか情報システムの変化についても状況を整理しておくことが必要になる。
西本氏は、「セキュリティ対策が遅れているのではなく、情報通信技術への理解と活用が遅れている。情報通信技術の利用技術(リテラシー)は、セキュリティそのものであり、利用者が感性を磨いていくことが必要になる。セキュリティ対策は情報システム部門だけでやるのではなく、経営レベルで時代の変化に対応していくことが重要だ」と話している。
事故から学ぶセキュリティ対策
次いで登壇した日本ヒューレット・パッカードHPエンタープライズ・セキュリティ・プロダクツ統括本部 セキュリティセールススペシャリスト 藤田平氏は最近のセキュリティ事故から見る取るべきセキュリティ対策について話した。
IPAの調査報告では、2010年ごろからホームページの改ざん件数が増えはじめ、いったん落ち着いたものの、2012年にまた増加の傾向にあると報告されている。藤田氏は、「最近、セキュリティに起因する事故が増えている。ホームページの改ざんをきっかけとした不正アクセスのほか、不正なログインも増え、同時に成功率も向上している」と話す。
ホームページの改ざんの手口には、大きく2つの種類がある。1つは、FTPアカウントの盗用であり、もう1つは脆弱性の悪用である。FTPアカウントの盗用は、ホームページ管理者が使っている端末にウイルスが感染し、アカウント情報が盗まれ、そのアカウントを使ってホームページが改ざんされる。
一方、脆弱性の悪用は、ダイレクトにホームページを改ざんし、ホームページ管理者や一般の利用者が閲覧したときにウイルスに感染する仕掛けを組み込む。最近のホームページの改ざんでは、脆弱性の悪用が、FTPアカウント盗用の2倍となっている。その背景を藤田氏は、次のように話す。
「現在は、CMSで簡単にホームページを立ち上げることができる。しかし立ち上げた後に脆弱性の対策やパッチの適用、プログラムの更新などが行われずに運用されていることが多い。そこで、ホームページで使っているOSやソフトウェアを常に最新の状態にしておくことが必要になる」(藤田氏)。
強化すべきセキュリティ対策のポイントとしては、コストを抑え、システムや管理者になるべく負担をかけない、効率的・効果的な脆弱性対策の導入が必要になる。またサーバやアプリケーションを含む全体的なシーケンスの流れを理解するログの統合管理と相関分析を導入することである。
HPでは、効率的・効果的な脆弱性対策として「TippingPoint」および「Fortify」を、ログの統合管理と相関分析として「ArcSight ESM」を提供する。TippingPointは、仮想パッチ機能、脅威情報DB、低遅延・高スループットが特長の次世代不正侵入防止システム。HPのセキュリティリサーチ「HP DVLabs」の研究ノウハウが組み込まれている。
またFortifyは、アプリケーションの脆弱性を開発の段階でチェックするソフトウェアで、コードレビュー(静的検査)、疑似攻撃テスト(動的検査)などが可能。ArcSight ESMは、リアルタイム相関分析により、外部からの攻撃はもちろん、内部の不正操作などのモニタリングを行い、インシデントを早期に発見し、被害を最小限にすることができる。
このセッションに興味のある方にはこちらのWebキャストがおすすめです。
セキュリティ事故から見る、セキュリティ対策の問題点と今取るべき具体策
具体的なセキュリティ事故・事件を例に、昨今急増しているWebサイト改ざんや不正ログインの手口を解説。そこから見えてきたこれまでのセキュリティ対策の問題点と、今取るべき対策を分かりやすく解説する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.