愉快犯ではなく、本気の攻撃が増加する中、企業が自社サイトとアクセスしてくる顧客を保護するためには、どんな取り組みが必要なのか。そして、その過程において、SSLサーバ証明書とマルウェアスキャン、脆弱性検査のバンドル提供を開始した日本ベリサインが果たせる役割とは何か――日本ベリサインのSSL製品本部 本部長 平岩義正氏と、日本の情報セキュリティ業界の第一人者であり、総務省 情報化統括責任者（CIO）補佐官も務めるS&Jコンサルティング 代表取締役社長 三輪信雄氏が対談。企業のWebサーバに対し数々の脆弱性検査に立ち会った経験も踏まえ、技術者目線で気になる部分を率直に聞いた。

悪質な攻撃が増えても
守る方法も攻撃する方法も基本は変わらない？

平岩：私の認識では、数年前はWebサイトを書き換えるといった愉快犯的な攻撃が多かったのに対し、昨今は本当に個人情報を抜き取ってしまう、悪質で本気のアタックが増えているように思います。三輪さんはそのあたりをどのようにとらえていますか？

三輪：おっしゃるように最近のサイバー攻撃は、愉快犯のようなものではなくなってきています。1つは、本気の攻撃者が増えてきたから。もう1つは、攻撃ツールの配布行為が子供のいたずらではなく、実際に経済的な損害を与える脅威であると見なされ、厳しく取り締まりが行われるようになってきたからです。

　この結果、面白半分に攻撃する人が減ってきて、一方で、金銭目的の攻撃やAnonymousなどのハッカーグループに代表されるハクティビストによる攻撃、国家の関与が疑われる、制御系ネットワークを狙ったStuxnetやDuquといった攻撃が入り乱れているのがいまの状況です。

　最近は、いわゆる標的型攻撃が話題になっています。報道はほとんどされていませんが、私の知る限り、本当に雨あられのように添付ファイル付きメールが降り注いでいる状況があります。そのメールの発信源の多くが日本なんですよ。

平岩：日本なんですか？

三輪：本当の発信者が日本人という意味ではなく、日本のメールサーバが発信源になっているということです。

平岩：いわゆる踏み台ですね。

三輪：はい。踏み台に使われているのは、「自分はあまり関係ないよね」と思っている企業の何気ないサーバだったりします。仮想サーバが月に1000円程度の手軽な価格で入手できることもあり、踏み台にするサーバはよりどりみどりというような状況です。いわゆる大企業や有名企業ではないところも、踏み台として手当たり次第に狙われています。しかも、そういう風に踏み台にされていても、なかなか気付かなかったりする。攻撃された側の政府や企業からクレームがきて初めて気付くケースが少なくありません。

平岩：それだけサイバー攻撃の手法が進化し、攻撃しやすい状況になっている中、企業が自分のサイトを守るにはどんな取り組みが必要でしょう。

三輪：よく「攻撃と防御はいたちごっこで、次々に新しい手法が出てくる」という人がいますが、実はそんなことはないんですよ。守る方法も攻撃する方法も、基本はそんなに変わりません。

　1つは、ログインの部分です。FTPやリモートメンテナンス用のアカウントが乗っ取られて、見た目には分からないけれどウイルスを配信するサイトに改ざんされてしまうといったものです。もう1つは、いわゆる脆弱性ですね。古いバージョンのOSやアプリケーションを使っているために起きる問題です。

　ネットワークの通信経路での乗っ取りというのもありますが、一般的には、ログインのパスワードやアクセス制御に関わるものと、パッチ適用をはじめとする脆弱性対策、あとは自分たちで作ったWebアプリケーションの脆弱性対策などがより喫緊の課題なんですよね。

　ただ現実には、毎月山のように脆弱性が発見されており、一方で、サーバの再起動ができないとか、アプリケーションがサポート対象外になるとか、いろんな「言い訳」があります。穴が空いているのは分かっているけれどパッチは当てられない……そういう状況が攻撃者にとってチャンスになってしまっています。

SSHアカウントのアクセス制御の不備から
アプリケーション脆弱性のチェックまで

平岩：サーバの担当者がすべてのセキュリティ対策を実施するのは、非常に大変な作業になっていますよね。そこで弊社としては、技術担当者の作業を軽減しつつセキュリティレベルを上げることがチャレンジだと考えています。最近では、SSLサーバ証明書に、オンライン型のマルウェアスキャンや脆弱性診断をバンドルするサービスを開始しました（※）。

三輪：脆弱性のスキャンにも、いわゆるWebアプリケーションのスキャンと、OSやApache、IISのバージョンを見たりするネットワーク系のスキャン、2タイプありますが、どちらでしょう？

平岩：両方カバーしています。

三輪：FTPやSSHのアクセス制御は適切に行われているかといったログインの部分も見てもらえるのですか？

平岩：はい。ポートスキャンを行った上、FTP／SSHサーバのバージョン情報やログイン設定がデフォルトのまま使用されていないか確認します。

三輪：私が知る限り、FTPやSSHに対して、IPアドレスに基づくアクセス制御すらやっていないところがすごく多いんです。もしこういった問題が見つかったら、おそらくすぐに踏み台化され、攻撃に使われてしまうでしょう。

　まだ自社でサーバを管理しているならばいいのですが、外部の業者、特にIT系ではないWebデザイン系の会社などに委託している場合、ログイン設定はどうすべきかを理解していない場合もあります。このあたりをスキャンして、危険性があるということをレポートとして提出いただけるのであれば、頼む方も頼まれた方も分かりやすいですね。

平岩：1週間に1回の頻度で検査を行い、その後、軽度の問題と重度の問題に分けて、原因と推奨対策を書いたレポートをお送りするようになっています。検査項目は約6000あって、このレポートを見れば、何をしなければならないかがだいたいお分かりいただけると思います。IPアドレス制御については、ポートスキャンでアクセスできること自体望ましいことではないので、レポートを見ながらIPアドレス制御を行っていただき、改ざんや情報漏えいに備えていただきたいですね。

三輪：検査ではすべてのWebページ、Webアプリケーションを見てもらえるんですか？

平岩：ネットワーク系のスキャンに加えてWebアプリケーション系のスキャンも行います。Webアプリケーション系のスキャンではまず200ページ分、トップページから順にリンク先のページを見ていきます。もしそこで重大な問題が見つかれば、全部で1000ページまでチェックするようになっています。攻撃者というのは、何かを埋め込むからには多くの人を引っかけようとするわけで、トップページに近い上の方を改ざんする傾向があるので、まずそこからチェックします。

　この結果はプッシュ形式で配信するのですが、設定によって、重大な問題が見つかったときだけレポートすることも可能です。「あ、このレポートがきたから危ないんだ」というふうに、簡便にセキュリティレベルを担保できるサービスに仕上げています。

三輪：スキャンの時間は指定できるのでしょうか？

平岩：残念ながら……もしご希望でしたら、その場合は有償のサービスをご利用いただくことになります。

三輪：それにしても、Webページ200ページ分の検査を脆弱性検査専門の会社に頼んだら、けっこうな額、おそらく数百万というオーダーになりますよね。それを週に1回のペースでやってもらえるのは非常にお得だと思います。

平岩：PCI DSS （Payment Card Industry Data Security Standard）では四半期に1度の検査が推奨されていますが、お客さまによってはもっと頻繁にWebコンテンツをアップデートされているでしょう。1週間に1回というのは適切な頻度かなと思います。また、外部からの脆弱性診断を行うと、Webサイトの負荷が高くなるのではないかと懸念される方もいますが、この検査はそれほど負荷をかけないよう、時間をかけてゆっくりやるよう調整しています。

　このように説明しますと、「なるほど、それがタダで付いてくるのであればベリサインに変えてみよう」とか、「ベリサインを継続して使っていこう」と思っていただけることも多いです。

三輪：これである程度脆弱性を洗い出せるとしても、もう少しチェックしたいとか、何か問題が見つかったならばなおさら深く検査したいというニーズもあるかと思いますが。

平岩：人の手で診断を行う診断サービスも用意していますし、見つかった脆弱性への対策としてWAF（Web Application Firewall）のサービスも提供を行っています。

EV SSLなどの活用で
シール自体の改ざんを防止

三輪：もしこの脆弱性診断を行っているならSSL暗号や企業認証とは別のシールを貼る、あるいはWAFサービスを導入していれば、さらに別のシールや違う色のシールが表示される、というようにユーザーが一目でどのくらい安全なサイトかが分かるようになるといいですね。

平岩：そうですね、私どももいろいろできないか考えたのですが、お客さまのサイトにぞろぞろシールを並べるわけにもいきません。たとえ色を変えても、どの色が一番安全なのかを理解していただくのが難しい課題になります。そこで、お客さまのサイトに貼ってあるノートン™セキュアドシールをクリックするとスプラッシュページが表示され（画面1、画面2）、そこに暗号化や企業の実在性証明に追加するように、「マルウェアスキャンをパスしています」「脆弱性診断をやっています」という詳しい説明が記載されているようになっています。

画面1　サイトに貼ってあるノートン™セキュアドシールをクリックする

画面2　詳細な説明が記載されたスプラッシュページが表示され、安全性を確認できる

三輪：もしブラウザのJavaScriptをオフにしていたら、見えませんよね？

平岩：JavaScriptをオフにしていると確かに表示されません。米ヤフーの調査によると1％前後のユーザーがJavaScriptをオフにしているようです。JavaScriptが対応している場合でも、Flashをサポートしていない環境の場合は、自動的にGIFに切り替わる仕組みです。

　このシールは、これまでの長い経験を踏まえて、改ざんなどがされないよう工夫をしています。世界の十数カ所に、シールの情報を提供する「シールサーバ」がありますが、これはすべてEV SSLを採用しており、ユーザーがシールをクリックして証明書情報を確認できるスプラッシュページはグリーンのアドレスバーで表示されます。こうやって、シール自体の信頼性を確認できる手立てを用意しています。

三輪：脆弱性診断の結果問題が見つかったら、シールの表示はどうなるのでしょう？

平岩：脆弱性診断については、結果ではなく、「このサイトは脆弱性診断を実施しています」と表示します。週に1回という頻度で脆弱性診断を受けているサイトであれば、情報を守る最低限の対策を行っているサイトだろうと判断できると思います。一方、マルウェアスキャンで疑わしいコードの記述を検出した場合には、シールの表示をオフにする設定があります。

三輪：iframeなどでほかのサイトのマルウェアをダウンロードするような、典型的な仕掛けも検知するんですよね？

平岩：はい、マルウェアブラックリストや既知の脆弱性を狙ったスクリプトを元に検知します。マルウェアスキャンは1日1回の頻度で行い、何か見つかればWeb管理者へメールで通知が行くようになっています。その場合、お客さまのサイトに付いているシールが消えるだけでなく、検索サイトと連動する「シールインサーチ」という機能でも表示が消えるようになっています（画面3、画面4）。

画面3　検索結果の横にシールを表示し、安全なサイトを示す「シールインサーチ」機能

画面4　スキャンの結果マルウェアが検出されると、シール表示が消える

三輪：それはどういった機能でしょう？

平岩：特定のアンチウイルスソフトウェアなどを入れているときに、GoogleやYahoo!といった主要なサイトで検索すると、私どもの証明書をお使いいただいているサイトへのリンクの横に、シールが表示される仕組みです。もしマルウェアスキャンで問題が見つかると、こちらの表示も消えるようになっています。

三輪：ユーザー自身もある程度気を付けないといけない、注意して見なくてはいけないという部分もありますよね。そもそもEV SSLを知らない人や、シールインサーチの意味を知らないという人も多くいます。

平岩：そうですね。アクセスしている先が認証されているサイトかどうか、自分のクレジットカード番号を入力してもいいサイトかどうかを分かりやすく示す、そういう工夫も必要だと思っています。

　そういう考えもあって、このたび、シールのデザインをノートンブランドに変更します。ベリサインというブランドは、企業のセキュリティ担当者にはよくご存じいただいているのですが、コンシューマーの評価となるとまだまだです。そこで、ノートンというブランドを使っていくことによって、「このシールが付いていると安全だ」「クリックしてみたら、脆弱性診断やマルウェアスキャンも実施しているから安全だ」……そんな風に見ていただける目印にしたいと思っています。

　また、シールの意味を分かっていただくための活動として、4月に出る高校向けの副読本の1つで、Web上で個人情報を守るための注意点に触れていただき、その一例として私どものシールも紹介していただきました。

画面5　高校向けの副読本でもシールの意味を解説している

三輪：脆弱性の対策1つとってみても、アクセス制御にしても、きちんと汗をかいて対策しているサイトとそうじゃないサイトがあります。このシールが、それを見分けるきっかけになれればいいなと思います。実在性確認と暗号化だけではない、1つの新しい方向性ではないでしょうか。

平岩：技術担当者の負担を軽減し、セキュリティレベルを上げるという2つの課題を両立させるお役に立てればと思います。

月額1万円程度のコストで週1回のチェック、
セキュリティレベルの底上げに

三輪：これって高いんですか？

平岩：いえ、SSLサーバ証明書の価格は従来と変わりません。ただ、サービスの無償バンドルは1月23日から始めたばかりなので、まだご存じのお客さまは少ないんですよね。

三輪：ぶっちゃけ、僕も知りませんでした（笑）。

平岩：米国やヨーロッパでは日本より先に展開しています。調査したところ、3割くらいのお客さまに「このサービスは非常にいいね」と、高い満足度をいただきました。

三輪：13万8000円で年がら年中検査が受けられるんでしょう？ 月に約1万円で、週1回のペースでSQLインジェクションとマルウェアを検査してもらえるなら、すごくいいサービスですよね。もちろん、脆弱性アセスメントの深さまで検証していないので、どのくらいの精度かは分かりませんが、レベルの底上げに非常にいいと思います。何も対策しないよりずっといいですよね。このサービスは最初からオンなんですか？

平岩：マルウェアスキャンは最初からオンで、脆弱性アセスメントは最初オフの状態になっています。

三輪：脆弱性アセスメントはオンにした方がいいですね。ただ、実際にオンにする前には、データベースへの書き込みがないかどうかを含めて確認しないといけない事柄もありますが。

平岩：最近、サイバー攻撃の数が増え、Webサイトの数もどんどん増えています。そんな中でこのサービスを導入しておけばひとまず安心だよね、という形に位置付けられれば、踏み台にされる日本のサーバの数が減るかもしれません。

三輪：最初にも触れたとおり、最近は、あまり有名じゃない、ちょっとしたサイトにウイルスが仕掛けられるケースが多いんです。それに気付かないと、多くの人に多大なる迷惑を掛ける可能性がある。常にこういうサービスでチェックするということをやっておいた方がいいと思いますね。

　もう1つだけ質問です。このように検索サイトや、お客さまのサイト自身など御社のシールが表示される機会が増えているようですが、スマートフォンでアクセスしたときも表示されるんでしたっけ？

平岩：EV SSL証明書によるURLなどをグリーンに表示する機能は、すでにiPhoneにおいては対応済みです。シールインサーチは、ブラウザがサポートするかによります。現在はまだ表示しませんが、今後表示できるように進めています。訪問先のサイトに貼ってあるノートン™セキュアドシール自体は、先にお話した通り、iPhoneではFlashに対応していないので、GIF形式のシールが表示されます。Android系スマートフォンは、Flashにてシールを表示する仕組みになっています。

　私どもはこのノートン™セキュアドシールが安全なサイトの目印となるように、一般消費者やその他の方々の目に触れる機会、方法を増やしていきたいと考えています。それによって、冒頭にありましたサイバー攻撃の際に使われる踏み台サイトを減らしたり、一般消費者の皆さんが安全なWebサイトを見分ける目印を提供させていただきたいと考えております。このような活動を通じて、日本でインターネットをより安全にご利用いただける環境作りの一助になれば幸いです。

【※】脆弱性アセスメント機能はグローバル・サーバID EV、セキュア・サーバID EV、グローバル・サーバIDをご利用のお客様に提供されます。