TOP>企業情報>コラム>特集>セキュリティ最前線~標的型攻撃にどう対処すべきか~

セキュリティ最前線~標的型攻撃にどう対処すべきか~

クロストーク セキュリティ最前線


國谷武史様

ITmedia エンタープライズ 編集記者
國谷 武史 氏

アイティメディア株式会社が運営しているビジネスを革新するIT部門向け実践情報サイト「ITmedia エンタープライズ」の編集記者。2008年よりセキュリティ分野を担当。



株式会社アシスト
伊藤 雄介

メインフレーム時代から23年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に従事。直近10年間はセキュリティ分野に特化したソリューション開発や顧客提案に務める。

伊藤雄介


アイティメディア株式会社の「ITmedia エンタープライズ」で主にセキュリティ分野の担当記者として活躍中の國谷武史様と、アシストでセキュリティ製品を統括している伊藤雄介が、今話題の標的型攻撃対策などセキュリティ分野における最新トピックについて対談しました。

「なぎ」だったセキュリティ業界が突然活況に
今こそ全体を俯瞰して身の丈にあった対策を!


伊藤: 昨今、マルウェアがトリガーとなる標的型攻撃が立て続けに発生し、お客様から「どう対策すればよいのか」という質問が急増しています。これまでは、どちらかというと「セキュリティインシデントが発生すると、企業が受けるダメージが大きいので対策をしっかりやっておきましょう」という啓蒙的な活動が中心で、景気に例えると「なぎ」のような状態でしたが、ここにきてお客様の真剣味が増してきていてセキュリティ業界に「特需」がきていると感じます。

國谷様(以下敬称略): 弊社が出している記事の中では「情報はこのように守りましょう」といった啓蒙的なコンテンツもありますが、やはり情報漏洩やサイバー攻撃の事件・事故に関する記事が数多く読まれています。備えることは重要なので啓蒙記事はもちろん必要ですが、多くの読者はその時々の脅威に関心が高いように思います。

伊藤: 単に不正アクセスに対処したいという場合は「特権IDを持った人がデータを外部へ持ち出せないように制御したい」とか、「A製品は新しいB端末に対応しているのか」といったポイントごとの問い合わせが多かったのですが、標的型攻撃が立て続けにニュースになると、「ファイルサーバへの対策はどうすればよいか」といった根本的な視点での問い合わせに変わってきました。きっかけとなるインシデントの特徴に対してどう手を打つべきかが優先されているように感じます。しかし、きっかけが監査やコンプライアンスなのか、不正アクセスや標的型攻撃なのか、あるいは人がやるのかマルウェアを介するかという違いはあるものの、情報搾取という点では変わりありません。結局は「情報漏洩対策」をどうするかです。

國谷: おっしゃるとおり、これまではポイントでのセキュリティ対策に偏っていた感がありますが、度重なる内部不正や外部からの脅威に晒される中、ようやく「本来のセキュリティ対策とは何か」という考え方に変わってきたのではないでしょうか。取材先でIT部門のセキュリティ対策を担当される方々に「企業にとって一番のセキュリティリスクは何ですか」とお聞きすると、皆さん「情報漏洩です」と答えられます。脅威はいろいろありますが、「本質的に守らなければならないものは情報だ」というお話でした。

伊藤: セキュリティ対策にかけるお金は積み上げ式になるため、都度対応していたらコストが膨大にかかります。「うちの会社規模に見合う投資ではない」とおっしゃるお客様もいますが、そうなると、対策自体が見送りになる可能性がある。また、弊社を含めたセキュリティ対策製品のベンダーが必要以上にユーザ企業の不安を煽ってきたせいでしょうか、「セキュリティ対策は100%完璧にやらなければならない」と思っていらっしゃる方が多いように感じます。

投資が膨れ上がったり、対策が進まなかったりする理由は、企業として「何を守りたいのか」が明確に定義されていないからです。どのデータがどのくらい重要で、誰がそれにアクセスできるのか、どういう経路で漏洩するのか、漏洩するとどのようなリスクがあるのかをセグメントに分け、その上でリソース、データ、人を対象としたセキュリティ対策を考えれば、重要なものだけをしっかり守ってかつ過剰な投資にはならない。つまり、セキュリティ対策の本質は何かを考え、俯瞰的な対策を検討すれば、極端に言えば全社員のPCに暗号化ソフトを導入するといった全社一律のセキュリティ対策や、先行他社と同じセキュリティ対策を導入するといった必要はなくなります。

國谷: 企業のグループ内でも同じことが言えるのではないでしょうか。ERPの場合は、グループ企業全体で共通利用した方が効率化とコスト削減のメリットが生まれ、BIツールやSaaSの場合は、各部門がそれぞれのニーズにマッチしたものを導入した方が業務に即時効果が出ます。その点、セキュリティ対策製品はインフラ寄りですので、画一化した方が良い面もありますが、それぞれの事業にマッチした対策も必要かと思います。

國谷 武史氏


一生懸命対策してもリスクはゼロにならない
人とツールで補い合うことが必要


國谷: 今年の春から編集部で「俺たちの情シス」という対談会企画を立ち上げ、その5月のテーマが「勝手クラウド」だったんです。私が企業のIT部門に取材でお邪魔する中でも「勝手クラウド」はよくお聞きする話でして、例えば現場の方が「Dropbox」を使っていてIT部門の方が把握されていないというケースがあるようです。現場の方にしてみると、「IT部門に申請すれば止められる」という思いもあるのだと思いますが、そもそも申請が必要だと思っていない方も実は多いみたいです。

しかしIT部門側は大変です。外でセキュリティインシデントが発生する度に上層部から「この対策はやっているのか」と言われ、かたやユーザ部門が何か新しいものを始めたり、新しい技術や端末が出るたびにモグラたたきのように一つひとつ対策をしなければならない。先ほど伊藤さんがおっしゃったようなピンポイントでの対策は過剰投資につながりますし、お金をかけてもきちんと運用されなければリスクが水面下に残ったままです。ひとたびインシデントが発生したらIT部門として対応しなければなりません。その精神的負担が大きいようです。

伊藤: 今のお話で、弊社のIT部門長の顔が浮かびました。彼の日々の苦悩がよくわかります。日本企業の特徴なのか、セキュリティ製品の特徴なのか、導入実績が非常に重視され、業界の競合企業と同じものを横並びに導入する傾向がありますね。しかしマルウェアは100%完全には止めることができないと言われ、新たな攻撃が次々と来るわけですから、製品の実績自体が意味をなさなくなってきています。

弊社では巧妙化、複雑化するマルウェアの侵入対策に注力するのではなく、侵入されていることを前提にして、早めの対策を打てるように「BlackDomainSensor」という独自製品の提供を開始しています。これはプロキシログなどを利用して、社外への通信を監視しC&Cサーバとの通信履歴を可視化するものですが、数十社ほど試していただいたところ、ほぼすべてでマルウェアによる不正な通信の痕跡が判明したのです。IT部門の方は一生懸命対策を実施されているため、皆さん「侵入に気づかなかったことがショックだ」とおっしゃっていますが、気づくことが大事です。気づかなければ被害が拡大する可能性が高くなります。

また、止められないマルウェア対策に、かなりの金額を投資されているお客様もいらっしゃいます。つい先日あるお客様が「標的型攻撃対策がトレンドになっているのでトップの意向もありA社が採用した製品と同じものを入れたが、運用が大変になってね」とおっしゃっていたのが印象的です。

國谷: 標的型攻撃対策製品がベンダーから次々と発表されていますが、2015年春以降、各サービスプロバイダーがサンドボックス・アプライアンス製品などを運用管理するセキュリティ運用代行サービスを開始するというニュースも目立つようになりました。「運用が大変になった」というお話のとおり、企業側も仕組みを運用しきれなくなっているという実態もあるのではないでしょうか。

これまで日本の安全対策は目に見えるものにどう備えるかが中心で、目に見える対策を施すことで安心感を得てきましたが、情報セキュリティ対策は目に見えないものに対して備えるものです。IT部門の方がマルウェアの侵入の可能性があるという事実を知ってショックを受ける、というお話でしたが、目に見えなければ「何も起こっていない=安全」と錯覚しがちです。

IT部門は水面下のリスクも検知しようとしているため、常に安全かどうかを意識していますが、企業の上層部は報告があがるまで実態がわからない。情報漏洩が発覚してビジネスが止まったり、企業の信頼が失墜するといった痛い思いをしなければ、なかなか全社あげてのセキュリティ対策は進まなかった。でも企業としてそれはあってはいけないことなので、上層部もしっかりと意識し、本来守るところと守らなくてもいいところの重みづけや、それに応じた備えといった本質的な対策をコストも含め戦略的に実施すべき時期にきています。

伊藤: 現実問題として「重要なデータとそうでないデータを分けてください」と現場の方にお願いしても、ほとんどの場合「とりあえず重要なデータにしておこう」となりがちですよね。それと同じで「ファイルの機密情報レベルをA、B、C、D、E、Fの6段階に分類してください」と言っても、たいていAかBになる。現場ではデータが重要かどうか、そもそも決められないのではないでしょうか。外部にデータが流出し、第三者に指摘された場合のビジネスインパクトがどうかをとくとくと語れば違うのかもしれませんが。AかBが多いと運用が面倒になり、面倒になると、業務遂行のため内緒で持ち出したり、使いたいファイルはどこにでも置くようになります。

國谷: すでに加工する必要がないような使われていないデータであれば重みづけができますが、作ったり使ったりしているデータは当事者でも機密データかどうか判断できないところが情報管理の難しさではないでしょうか。競合他社に知られてはまずい情報か、個人情報を扱う業務か、所属しているプロジェクトが秘密かオープンか、といったように、自分が関わっている仕事の機密性とそれに関わるデータの機密性の関連づけが理解できれば、リスクが想像できて守るという意識が高くなるのかもしれません。そうはいっても人間なのでミスもありますし、対処できない部分もあるので、そこをツールや技術で補って理想の形に近づけていくアプローチが必要です。

伊藤 雄介


理想はデータを使う側も管理する側も何もしなくてよいこと


伊藤: エンドポイントと言われている端末のセキュリティ対策を、これほどまでやってる国は日本くらいではないかなと思います。新しいPCやOSが出るたびに製品メーカーが検証して対応バージョンを出しますが、PCにはUSB、DVD、CD、Wi-Fi、Bluetoothなど様々なものがついていて、その入口・出口対策が必要になります。またモバイルデバイスがビジネスで活用されるようになり、同じように入口・出口対策が必要になってMDMが必要だね、という話も出てきました。弊社も少し前までは「クライアントPC側の穴をふさがなければいけない」と啓蒙し続けた結果、全社員のPCに暗号化ソフトが入りました。でもPCの台数分のお金がかかるんですよ。

理想は、データ自体をアクセスコントロール下において、出ては困るデータが出てしまった場合はそれを消失させるIRM(Information Rights Management)のような考え方を取り込むことです。弊社の取扱製品のメーカーも、先々の構想として、GPS情報をファイルに埋め込み、例えば日本以外で開こうとしても開けないようにするといったことを検討されているようです。それが実現すれば会社支給だろうが個人のPCだろうが端末は何でもよくなり、管理負荷やコストも削減され、みんなが幸せになります。エンドポイントセキュリティはそんな方向がいいですね。

國谷: そのあたりの対策技術として注目されているのが、銀行などが実施している、IDとパスワードに他の認証要素を組み合わせるリスクベース認証でしょうか。ワンタイムパスワード(OTP)やトークンなどは、システムを利用する人が毎回違うものを入力しなければならず、ひと手間かかるところが普及の壁になっていますが、リスクベース認証はサーバ側でエンドポイントの状況を分析し、通常とは別のPCからアクセスしているとか、振る舞いが違うとかを認識した場合に本人確認するための追加認証を行う機能です。IPアドレスが変わっただけですぐに「本人ですか?」と聞かれたことがあるかと思いますが、これまでFacebookをはじめとする海外のWebサービスだけが積極的に取り込んでいるのかと思ったら国内のサービス事業者でも対応し始めているようです。

どんなにすばらしい技術でも利用者の負担が大きいと使われなくなりますが、その点、リスクベース認証は利便性と防御のバランスがよいのではないかと思っています。さらなる技術革新は必要ですが、今後はリスクベース認証の仕組みが広がっていき、例えば、企業が社員のアクセス管理で導入するといった展開が考えられるのではないでしょうか。

伊藤: マイナンバー制度が施行されたら個人用ポータルができますよね。個人がログインする時にIDとパスワードだけではリスクヘッジができず、かといってOTPのようなものを国民全員に持たせるわけにもいかないので、サーバ側での対策となるリスクベース認証は現実的だと思います。そういえばIPAから、パスワードを忘れた時のリセット機能である「秘密の質問」について注意喚起が出ていました。「あなたの好きなくだものは?」が「りんご」や「みかん」のようにわかりやすいものだと危険、アメリカの女優のプライベート画像が流出した話はその手口だったと聞いています。「みかん」ではなく「みかん カモしれない」と「本来の答え」に自分固有のフレーズをつけた答えを用意したほうが破られないようですが、いちいち覚えてられませんよね。

國谷: Googleが今年5月ぐらいに英文で出した調査報告書が大元だそうですが、例えばそれぞれの国で「好きな食べ物」が偏っていたりすると簡単に答えを推測できてしまうそうで、「素直に質問に答えてもセキュリティ的に意味がな
い」という提言であるようです。それでIPAから「秘密の質問に答えるなら工夫が必要」という注意喚起でしたね。

※出典:独立行政法人情報処理推進機構 「2015年7月の呼びかけ」
 https://www.ipa.go.jp/security/txt/2015/07outline.html

伊藤: 個人で考え付くパスワードも限界がありますが、もう1つの認証要素がOTPやトークンだと利用者の手間がかかります。そこで生体認証でしょうか。利用者は何も意識しなくてよいですし、IDとパスワードもそのうち不要になるかもしれません。生体認証といえば、空港の顔認証システムは犯罪者を入出国させない仕組みなので精度が非常に高いですが、私が某所でマシンルームの入室に指静脈認証を行った際、部屋が寒すぎて帰りに出られなくなりました。

情報セキュリティ対策も国家レベルのセキュリティ対策も本質は同じ


伊藤: 話は変わりますが、同じセキュリティ対策でも命に関わる局面があります。例えば、飛行機や車など、基盤がコンピュータである限り、不正侵入され墜落したり制御不能の状態に陥る可能性や、IPアドレスを持つ冷蔵庫やエアコンなどの家電が踏み台になってどこかの防衛機関にDDoS攻撃する可能性などもあるとか。また、防衛関係もそうですが、電気、ガス、水道のような生活に直結する仕組みもシステム化されているため、攻撃されたら生活に支障が出るだけでなく国自体が機能しなくなる可能性があります。このようなセキュリティ対策はもはや1企業、1セキュリティ担当が考えるべきレイヤーではないですが、これが情報セキュリティ対策と密接に関係しているという話です。

國谷: 病院のシステムなどが狙われると人の命も脅かされます。このようなインフラは実はどこかでつながっていて、ある経路から両方へ辿りつく可能性があるという危険な状態だと聞いています。政府は政策として、また民間でも一部取り組みが始まっているようですが、このようなリスクこそ国民に本来共有すべきところが、ほとんど知らされていない。情報もインフラ等のセキュリティも、本来守るべきものは何かを考え、どう対策を施すかというアプローチをとらない限り、昔ながらの仕組みを残したままつぎはぎで対処し、そこが穴になって不正アクセスだったり情報漏洩が止まらない状況になると思います。

伊藤: 本質は同じなのでしょうが、国家レベルに及ぶセキュリティの話は怖いですね。今年話題になっている標的型攻撃の事故はその縮図版と言えます。マイナンバーや機密データを扱うネットワークと業務用のネットワークを分離しなさいと国から指導があったようです。

國谷: これまでの総括になるかもしれませんが、ITmedia エンタープライズで連載記事を寄稿いただいている方が「セキュリティ対策は城に例えるとわかりやすい」とおっしゃっていました。本丸(データ)を守るために、石垣やお堀、櫓をどうするのかであって、まず「石垣を作りましょう」ではないということです。また、セキュリティは100%を目指すものと、企業もベンダーも思っていた風潮がありましたが、リスクを許容できる範囲を企業側が真剣に考え、自分たちの感覚、スタイルに応じたものを、信念を持って推進していくのがこれからのセキュリティ対策ではないでしょうか。

伊藤: おっしゃるとおり、入口を完全に防御することはできないのに一生懸命そこに投資し、完璧を目指そうとしても、リスクをゼロにすることはできません。それよりも守るべきデータをどう守るかという本質を見極め、コストや手間を最小限にして容易に運用できる体制にしないと。また、情報を活用してビジネスにつなげようという今の時代に合った対策も必要ですね。

(取材日:2015年8月)


Facebookで情報をお届けしています

Facebookでは、アシストの「今」を週3回のペースでお届けしています。「めげない、逃げない、あまり儲けない」を合言葉に日々頑張っておりますので、応援よろしくお願いします。



ページの先頭へ戻る