＠IT Special PR：情報漏えい対策セミナーイベントレポート

イベントレポートインデックス
	デジタルアーツ「最新事例から見る、情報漏えいとその対策」
	トレンドマイクロ「悪意なき社員の書き込み、悪意ある外部攻撃から情報漏えいに備える」
	日本ベリサイン「情報漏漏えいを防ぐ、積極的なセキュリティ対策とは」
	NRIセキュアテクノロジーズ「従来の情報漏えい対策ではもう限界！情報資産の新しい守り方」

　2010年6月18日、東京・大手町にて＠IT編集部主催のイベント「＠IT 情報漏えい対策セミナー　いま知っておきたい『可視化』志向のセキュリティ対策」が開催された。同イベントでは、最新のWebセキュリティ事情や各セキュリティベンダーの製品・ソリューション、大手メーカー企業における事例など、さまざまな講演やセッションが行われた。

　本稿ではその中から、セキュリティベンダー4社によって行われたセッションの概要をレポートする。

国内トップシェアのURLフィルタリングで実現するWebセキュリティ

●最新事例から見る、情報漏えいとその対策

デジタルアーツ
取締役最高執行責任者
高橋則行氏

　最初のセッションにはデジタルアーツ取締役最高執行役責任者高橋則行氏が登壇し、昨今のWebを取り巻く脅威の傾向と、それに対応するための同社のソリューションについて紹介を行った。

　まず同氏は、昨年から続くガンブラーの被害状況と、依然として収まりを見せないフィッシング詐欺の被害状況について統計データを交えながら紹介し、Webを介したセキュリティ被害が増え続けている現状を説明した。さらに、昨今ユーザーが爆発的に増加しているTwitterをはじめとしたソーシャルサービスについても、新たな脅威が発生していると警告する。

　「Twitterを業務に活用する企業も出てきているが、Twitterのように成長しているサービスほど攻撃の的になりやすい。さまざまな攻撃手法が編み出されているが、その中でもより成功率が高いものに攻撃が集中する傾向がある」（高橋氏）

　事実、米Twitter社を名乗る詐欺メールや、短縮URLを悪用して不正サイトへ誘導するような手口が登場している。このようにWebの世界では、新たなサービスが出現するたびに新たな攻撃手段が編み出され、Webの利用が増え続けるに従ってその手口も複雑化の一途を辿っている。

　こうした状況に対してデジタルアーツでは、URLフィルタリングとアンチウイルスを併用した対策を提案している。

　「危険性の高いサイトに対しては、そのURLに対してフィルタリングをかけて遮断する。その上で、サイトから送られてくるコンテンツに対しては、アンチウイルスソフトで脅威を駆除する。このような二段構えの対策によって、Webに対する総合的なセキュリティが実現できる」（高橋氏）

　具体的には、従来より定評のあった同社のURLフィルタリング製品「i-FILTER」をアンチウイルス製品と組み合わせたソリューションを提供しているという。

　またi-FILTERには、ソーシャルサービスに対応した機能も搭載されている。例えばTwitterへのアクセスに対しては、「アクセスの全面禁止」「閲覧のみ可能」「つぶやく内容の制限」など、何段階かのアクセスレベルが用意されている。各企業は、自社のニーズに応じてそれらの中から適したアクセスレベルを選択できる。同製品ではさらに、詳細なアクセスログを取得・分析する機能も備えているという。

　また、関連製品である「i-FILTER EndPoint Controller」（i-FILTER EPC）を使うことにより、PCを社外に持ち出して利用する際のWebアクセスを制御したり、アクセスログを取得することもできる。

　最後に高橋氏は、i-FILTERがURLフィルタリング製品の市場でトップシェアを獲得していることを紹介した上で、以下のようにセッションを締めくくった。

　「Webの脅威は実に幅広いので、すべてにキャッチアップして対応していくのは大変。もし『安価にWebセキュリティに取り組みたい』『既存の業務を担保しながら情報漏えい対策を行いたい』といった要望があった際には、ぜひi-FILTERのことを思い出していただきたい」

関連リンク：デジタルアーツ株式会社

ホワイトペーパーダウンロード

最新事例から見る、情報漏えいとその対策

本セッションで取り上げたソリューションの関連資料をダウンロードできます。

外部からの攻撃に対しては「Webレピュテーション」で対策を

●悪意なき社員の書き込み、悪意ある外部攻撃から情報漏えいに備える

トレンドマイクロ
マーケティング本部　
エンタープライズマーケティング部
シニアプロダクトマーケティングマネージャ
吉田睦氏

　2番目のセッションでは、トレンドマイクロ株式会社マーケティング本部エンタープライズマーケティング部シニアプロダクトマネージャ吉田睦氏により、同社の最新の情報漏えい対策ソリューションの紹介が行われた。

　吉田氏はまず、日本ネットワークセキュリティ協会（JNSA）の調査報告書の内容を引用しながら、近年における情報漏えい事故の傾向について説明した。

　「情報漏えいの件数は増えているが、漏えい人数は減っている。また、媒体別の漏えい件数では、紙媒体からの漏えいが過半数を占めている」（吉田氏）

　しかし、これをもってインターネット経由での情報漏えいが減少していると判断するのは早計だという。

　「見逃されがちだが、ネット経由の不正アクセスの場合、事故1件当たりの漏えい人数は、ほかの経路によるものと比べてけた違いに多い。中でも、Webの脆弱性を狙った攻撃はここ最近、急激に増えている」（吉田氏）

　こうした中、同社は企業内部からの情報漏えいを防ぐ手段として、URLフィルタリングのソリューションを提供している。それも、単に外部のサイトへのアクセスに制限を掛けるだけでなく、掲示板やブログ、Twitterへの書き込みを制限したり、Webメールやインスタントメッセンジャー（IM）へのファイル添付に規制を掛けることができる。

　また、「サーバレスURLフィルタリング」と呼ばれる機能を使えば、社外に持ち出されたPCに対しても、インターネットへのアクセスを制御できる。これは、PCにクライアントモジュールをインストールしておけば、社外からインターネットへアクセスしようとした際、自動的に同社のデータセンターにあるURLフィルタリングのリストが参照され、規制が掛けられるというものだ。こうしたSaaS型のURLフィルタリングサービスは、自社で専用のゲートウェイサーバなどを運用する必要がないため、コスト面のメリットが大きいという。

　しかし、昨今大きな問題となっているガンブラーのような外部からの攻撃に対しては、URLフィルタリングはあまり効果を発揮しないという。

　「内部からの情報漏えい対策には、URLフィルタリングは非常に有効だ。しかしガンブラーのように、正規サイトの改ざんによって悪意のあるサイトへ強制的にリダイレクトさせるようなアクセスルートに対しては、制限を掛けることができない」（吉田氏）

　そこで同社では、Web経由の不正アクセスに対する防御策として「Webレピュテーション」という手法を提案している。これは、Webサイトの「評判」や「評価」を得点化したデータベースを基に、危険なサイトへのアクセスに制限を掛けようというものだ。

　同社では、「WebサイトのURL」「電子メール」「ウイルスファイル」の3つに対して、それぞれ個別に評価データベースを構築し、互いに連携させることで精度の高いWebレピュテーションを実現している。現に、ガンブラー攻撃の不正サイトの大部分が「危険なサイト」として、既にWebレピュテーションのデータベースに登録済みだという。

　「Webに関連する脅威が多様化する今日、URLフィルタリングとWebレピュテーションの2つを併用して、内部からの漏えいと外部からの攻撃の両面に対応していくのが極めて有効だ」（吉田氏）

関連リンク：トレンドマイクロ株式会社

ホワイトペーパーダウンロード

Webレピュテーションサービスアーキテクチャの概要

本セッションで取り上げたソリューションの関連資料をダウンロードできます。

EV SSL証明書でフィッシング詐欺に対する“攻め”の対策を

● 情報漏えいを防ぐ、積極的なセキュリティ対策とは

日本ベリサイン
SSL製品本部
ダイレクトマーケティング部
マネージャー
大塚雅弘氏

　3番目のセッションでは、日本ベリサイン株式会社が提供するセキュリティソリューションの紹介が行われた。同社では、内部からの情報漏えいと外部からの攻撃の双方に対して、SSL証明書を活用したソリューションを提供している。

　まず内部からの情報漏えいに対しては、「SSLクライアント認証」の技術を活用した対策がある。これはWebサイトのログイン画面そのものを、適切な「クライアント証明書」を持つユーザー以外に表示させない認証方法である。これにより適切なクライアント証明書を持たない不正ユーザーからのアクセスに対して非常に強力な制御を掛けることができるという。

　また、外部からの攻撃、特にフィッシング詐欺に対しては、複数の手段を使って対策を講じることを提案している。同社 SSL製品本部ダイレクトマーケティング部マネージャー大塚雅弘氏は、フィッシング詐欺が依然として後を絶たない現状と、巧妙化しつつある最近の手口を紹介しながら、その脅威について次のように説明する。

　「企業のブランドを悪用したフィッシングサイトは、いつどこに、誰によって作られるか分からない。従って、自社の正規サイトを直接狙った攻撃に対する防御をいくら強化しても、フィッシング被害を防ぐことはできない」

　そこで同社では、フィッシング詐欺の手口として最も典型的な「フィッシングメールによるフィッシングサイトへの誘導」を防ぐ手段として、「ベリサインセキュアメールID」によるソリューションを提供している。これは、企業がユーザーへメールを送信する際、ベリサインが発行した証明書を使った電子署名をメールに付加することで、送信元の身元の正当性とメールが改ざんされていないことを担保するものである。メールを受信したユーザーは、証明書の内容を確認することによって、本当にその企業から送信されたメールであることを確認できる。万一、メールの改ざんがあった場合（本文の改ざんや送信元のメールアドレスと証明書に記載されたメールアドレスが異なるなど）は、受信側PCでセキュリティ警告が表示される。

　また、ユーザーがアクセスする先のWebサイトが、企業の正規のサイトであることを証明することができる「ベリサイン EV SSL証明書」も提供する。EV SSL証明書ではなく、「単なる」SSL証明書だけでは、本当に正規のサイトかどうかユーザーは判別しにくくなってきていると大塚氏はいう。

　「ドメイン認証のみで発行されるSSL証明書や、独自認証局から発行されるSSL証明書を悪用したフィッシングサイトも見つかっている。一般的に「SSL=暗号化」として認識されていることが多いが、重要なのは、暗号化した通信をする相手先が正しいかどうかである。ベリサインが発行している企業認証付きのSSL証明書は、厳格な認証により、この証明を実現しているが、その確認のためには、鍵アイコンやベリサインセキュアードシールをクリックする必要がある。そのような作業をしなくても、利用者がWebブラウザ上でサイトの安全性を確認できるように考え出されたのがEV SSL証明書だ」（大塚氏）

　EV SSL証明書は、米国のCA/Browser Forumで決められた「EVガイドライン」に基づいた審査基準で厳格な認証が行われた後、証明書が発行されるため、サイトの正当性を厳密に証明することができる。またWebブラウザのアドレスバーが緑色に表示され、サイトの運営団体名が表示されるなど、ユーザーが直感的に分かりやすい形でサイトの安全性を確認することができる。

　「これまでのような、さまざまな攻撃に対する“防御のセキュリティ対策”だけでなく、こうした、目に見える“攻めのセキュリティ対策“を施すことにより、ユーザーは、正規サイトであることを容易に確認でき、「安全・安心」を感じることができる。また攻撃者に対しては、ユーザーが正規サイトを容易に確認できる、すなわち詐欺の成功率が低いフィッシングサイトを作りにくくする効果がある。その結果、企業とユーザーをWebの脅威から守ることができるようになる」（大塚氏）

関連リンク：日本ベリサイン株式会社

ホワイトペーパーダウンロード

【システム担当必読】電子メールはWebセキュリティの落とし穴！
あなたのメールを盗聴から守るには

本セッションで取り上げたソリューションの関連資料をダウンロードできます。

増え続ける情報資産をラベルはり付けで見える化・一元管理

●従来の情報漏えい対策ではもう限界！情報資産の新しい守り方

NRIセキュアテクノロジーズ株式会社
ソリューション事業部
セキュリティコンサルタント
渡邊聡志氏

　最後のセッションでは、NRIセキュアテクノロジーズ株式会社渡邊氏によって、不正競争防止法にも対応する新しい情報漏えい対策の紹介が行われた。

　「『情報漏えい対策についてのセミナーなのに、なぜ“不正競争防止法”なのか』と、違和感を覚えている方が大多数だと思うが……」

　こう前置きしたあと、渡邊氏は不正競争防止法と情報漏えい対策の関係について説明を行った。同法は昭和9年に制定され、企業内における「営業秘密」の保護を図るための制度基盤として数々の改正を重ねてきたが、2010年7月、刑事罰の強化のための改正が施行される。その改正内容をひと言でいうと、「営業秘密を不正取得しただけで処罰の対象になる」というものだ。

　「営業秘密を不正取得」とは、例えば機密情報を第三者に転売したり、インターネット上の掲示板に書き込んだりといった行為を指す。こうした行為は、同法の改正前は「不正の競争の目的に利用したかどうか」を証明するのが難しかったため、なかなか刑事罰の対象としては認められなかった。しかし、改正後は処罰の対象範囲が拡大され、営業秘密を前述のような目的で入手あるいは複製しただけでも、処罰の対象として問われるようになる。

　このように、情報漏えいを取り締まるための法整備が進みつつあるのは企業にとって好ましい傾向だが、その一方で、企業がこうした法律の保護を受けるためには、一定の条件を満たす必要があるという。

　「これまでの判例を見ると、不正競争防止法の保護を受けるためには『秘密管理性』の要件を満たすことが重要だと思われる。そのためには、企業は『客観的認識可能性』と『アクセス制限』を担保する必要がある」（渡邊氏）

　客観的認識可能性とは、機密書類に「社内秘」「マル秘」と押印するなどして、その情報が誰が見ても秘密だと分かるように明示しておくことである。またアクセス制限とは、機密の書類や電子データにアクセスできる人物をきちんと限定・特定しておくことを指す。

　特に前者の客観的認識可能性を実現するソリューションとして、NRIセキュアテクノロジーズ株式会社では「SecureCube / Labeling」という製品を提供している。同製品は、Microsoft Officeのアドインソフトウェアとして、Microsoft Word／Excel／PowerPointのドキュメントに「極秘」「社内限」といった各種ラベルを、実際に押印するようなイメージで付加するツールだ。

　同製品を導入すると、電子ファイルの機密区分に従ったラベルをユーザーが選択しラベルを押印することにより、ドキュメントに適切なラベルを付加しないとファイル保存できなくなるため、社内ルールの運用を徹底できるという。また、同製品の最新バージョンでは、PDFに対しても同様にラベルを付加することができる。

　同製品のEnterprise版では、社内各所で付与されたラベル情報およびファイルサーバのラベルの情報を集約して、台帳データとして一元的に管理し、その内容の統計をグラフ表示することもできる。また、ラベル付与したログや重要資産ファイルの利用ログだけでなく、印刷履歴ログやラベルの重要度の変更ログを取得できる。さらに、重要資産に対するアクセスのランキングなども検索可能となる。

　外部への展開も考えられている。ラベルとともにファイルに付加した属性情報を、メールソリューションやプリンタソリューション、DLPなどといったほかのソリューションで「極秘」ラベルは制限をかけるといった、強固なセキュリティ基盤を構築することも可能だ。同製品はすでに、他社製のさまざまなソリューションとの連携実績があるという。

　なお、個々のクライアントPCレベルでドキュメントファイルにラベルを付加・管理するSecureCube / Labeling Personalであれば、無料でダウンロードして利用できる。

関連リンク：NRIセキュアテクノロジーズ株式会社

ホワイトペーパーダウンロード

従来の情報漏えい対策だけではもう限界！情報資産の新しい守り方

本セッションで取り上げたソリューションの関連資料をダウンロードできます。

提供：デジタルアーツ株式会社
トレンドマイクロ株式会社
日本ベリサイン株式会社
NRIセキュアテクノロジーズ株式会社

企画：アイティメディア営業本部
制作：＠IT 編集部
掲載内容有効期限：2010年08月11日