サイバー攻撃から学ぶIT経営時代のセキュリティ対策:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
「もはや対処療法では守り切れない! サイバーテロ時代の情報セキュリティ」をテーマに「第27回 ITmedia エグゼクティブセミナー」を開催した。サイバーテロや情報漏えいなどのリスクは、どの企業にもあるということを前提としたプロセスづくりや体制づくりをはじめとする新たなアプローチについて紹介された。
理想と現実のギャップが大きい日本企業
ベリサインの調査では、ウェブサイトの診断を「一度も行ったことがない」という企業が33%で、「1年以上前」という企業が6%であると答えている。一方、69%の企業が自社のウェブサイトを「ある程度安全である」と答えている。次に登壇した日本ベリサインSSL製品本部 SSLプロダクトマーケティング部 上席部長 安達徹也氏は「日本企業は"診断はしていないが安全"という意識で、理想と現実のギャップが大きい」と話す。
実際に被害にあったことがないというのが理由かもしれないが、2012年に1回の攻撃で流出した個人情報の平均件数は、60万4862件に上る。安達氏は、「流出1件に対し500円を補填すると、それだけで3億円が必要になる。本当に大丈夫なのかを、いま一度考えるべきときである」と話している。
代表的な標的型攻撃として、SQLインジェクションやクロスサイトスクリプティング、クロスサイトリクエストフォージェリ、不正ログインなどがある。SQLインジェクションは、ウェブサイトから不正に情報を流出させる攻撃。対策としては、事前にSQLを構文解析するプリペアドステートメント(静的プレースホルダ)に修正しておく。
またクロスサイトスクリプティングは、ウェブサイトがフィッシング詐欺に悪用される攻撃であり、クロスサイトリクエストフォージェリは、SNSの特定グループ向けの書き込みが公開される攻撃である。対策として、どちらもウェブサイトに脆弱性がなくなるように作成することが必要になる。
さらに不正ログインには、いろいろな攻撃手法がある。例えば辞書攻撃は、誕生日や氏名など、パスワードとしてよく使われる語句を辞書として用意し、ログイン試行を行う攻撃。またブルートフォースアタック(総当たり攻撃)は理論的にあらゆるパターンを入力する攻撃。例えば4桁の数字であれば、0000〜9999までを試行する。
こうしたウェブサイト攻撃への対策として、設計、実装、テスト、運用というウェブサイトの開発ライフサイクルにおける、それぞれの段階で、セキュリティ対策を行うべきだが簡単ではないのが実情。ベリサインでは、テスト、運用のフェーズで実施すべき対策を「ベリサインWebサイト診断・防御ソリューション」として提供している。
安達氏は、「ウェブアプリケーションの脆弱性を狙った攻撃が活発化しており、自社のウェブサイトが本当に大丈夫なのか診断をして、不具合があれば迅速に対応することが必要になる」と話している。
対策はファイアウォールからUTMへ
フォーティネットは、米国カリフォルニア州サニーベールに本拠地を置くUTMベンダーの日本法人。フォーティネットジャパン 市場開発本部 本部長 西澤伸樹氏は、「セキュリティ対策は、ファイアウォールや標的攻撃など幅広い。そこでセキュリティ対策も単機能から複合製品(UTM)へと移り変わっている」と話す。
エンタープライズでは、ファイアウォールの導入によりゲートウェイを保護するが、小規模では、ルータのアクセスコントロール機能で対応することも多かった。しかしサイバー攻撃が高度に進化した現在、UTMへ移行する企業が増えている。低価格のUTM製品が登場したことも移行を加速している。
西澤氏は、「フォーティネットのUTMは、ネットワーク機能とセキュリティ機能を1つのボックスに統合したアプライアンス製品。独自に開発したASICによる高速化や要件にあわせて柔軟に選択できる機能が特長。セキュリティ機能では、ファイアウォールやウイルススキャン、ウェブフィルタリングなどの機能が搭載されている」と話す。
「セキュリティポリシーに基づいて、体制を確立し、手順を作成して正しく運用しなければならない。しかしネットワークにつながるすべてのリソースを守ることは容易なことではない。どうしても手つかずの部分が残ってしまう。未対策システムの応急処置が必要になる」(西澤氏)
例えばWindows XPのサポート切れが問題になっているが、Windows XPを利用している企業はまだ多い。そこで最新OSに移行するまでの間、セキュリティ対策を実施する仮想パッチを提供する。西澤氏は、「フォーティネットでは約200名のエンジニアやリサーチアナリスト、フォレンジックスペシャリストがサポート業務を提供している」と話す。
西澤氏は、「今後も新たな脅威は発生し続けるため、その対応が必要になる。フォーティネットではDDoS攻撃に対する高度で高速な防御技術を提供するほか、Webアプリケーションファイアウォール(WAF)、二要素認証、最先端のマルウェア対策などの常に最適な高速ネットワークセキュリティを提供していく」と話している。
標的型攻撃とホームページ改ざんを実演
最後の特別講演にはネットエージェント 代表取締役社長 杉浦隆幸氏が登壇し「最近、話題になっている2つのサイバー攻撃の手法とその対応策を紹介する。ひとつは"標的型攻撃"であり、もうひとつは"ホームページの改ざん"である」と話した。標的型攻撃にはさまざまあるが、トロイの木馬を仕込むことが最終目標である。このトロイの木馬がいかに企業システムに感染し、標的型攻撃を行うかをデモを交えて紹介した。
攻撃者が標的型攻撃を行う場合、まず標的を発見することから始まる。このとき標的の数の確保が重要で、標的の数が多ければ成功率も高くなる。次にだます方法を考え、目的に応じたトロイの木馬を作成し、メールに添付して送信する。あとはメールの添付ファイルが開かれるのを待つだけである。
「攻撃を成功させる最大の要因は、対象者の数である。成功率は、攻撃対象者の数で変化する。大きな組織であれば、成功率の低い攻撃をしても、トータルの成功率は高くなる。多少失敗しても"数打ちゃ当たる"である。1人に対して攻撃が成功すると、内部からは攻めやすくなってしまうので、それに応じた対策が必要になる」(杉浦氏)
またホームページ作成で人気のツール「WordPress」を使っているホームページの改ざんとバックドアの設置に関してデモを交えて紹介した。杉浦氏は、「オープンソースのWordPressは、無償で使えることも人気の理由。人気になると攻撃されやすくなる。ただし攻撃手法が分かっていれば、防御対策は簡単にできる」と話す。
杉浦氏は、「ホームページの改ざんを行う目的は、標的型攻撃のための拠点を増やすこと、乗っ取ったサーバを増やして売るためなどさまざま。また政治的な主張を目的としたハクティビズムのためにホームページを改ざんすることも多い。本質的には、そこに脆弱なサーバがあるためだ」と話している。
標的型攻撃やホームページの改ざんなどのサイバー攻撃から、企業システムを守るために、どのようなセキュリティ対策を行えばよいのか。杉浦氏は、「攻撃されていないサーバはほとんどない。セキュリティ対策の専門家とともに、サーバやコンテンツに対する検査を実施し、最適なセキュリティ対策を実施することが必要」と話す。
一方、攻撃をされた後の対策について杉浦氏は、「今後、絶対に侵入されない対策を施すことが必要。たとえサーバを変更しても、設定する担当者が同じであれば、再び攻撃される可能性が高くなる。またウェブ制作会社は、ウェブサイトの作成はできても、確実なセキュリティ設定はほぼできないと思っておくことだ」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.