新たな脅威に「気付く」「対処する」ポイントとは？：＠IT セキュリティソリューションLive! in Tokyo レポート（1/2 ページ）

毎年恒例となりつつある「＠IT セキュリティソリューション Live! in Tokyo」が、今年も2月21日に東京都内で開催された。セミナーでは特に、巧妙化する標的型攻撃対策や安全なモバイルデバイスの活用などがテーマとなった。その模様を紹介する。

[谷崎朋子，＠IT]

　ソーシャルエンジニアリングや高度なIT技術を駆使した昨今のサイバー攻撃は、防ぐのがなかなか難しい。フィッシング詐欺の中には、メール宛先の身辺調査をして友人や同僚、家族関係を洗い出した上で巧みに関係者へなりすますなど、相当な手間をかけて攻撃を仕掛けてくる。セキュリティソフトを入れただけで安心する時代は終わった。

　2月21日に東京都内で開催された＠IT主催セミナー「そこにいるかもしれない「見えない敵」に備える - 新たな脅威に「気付く」「対処する」ポイント」では、こうした新たな脅威に備えるための9本の講演が行われた。プロの攻撃者にどう対処すべきか。ITでどこまで対応可能なのか。その糸口を探す。

基調講演〜対応の遅れが致命傷になった事例も

　基調講演「サイバー攻撃の多様化とセキュリティ対策のこれから」で登壇したのは、JPCERTコーディネーションセンター（JPCERT/CC）、専務理事の早貸淳子氏だ。

　JPCERT/CCは、旧称「コンピュータ緊急対応センター」の時代から国内のセキュリティインシデント対応窓口として活動してきた。現在は、インシデントの予防、予測と捕捉、対応、CSIRT構築支援などを通信事業者やセキュリティベンダなどと協力して行っている。

JPCERTコーディネーションセンター（JPCERT/CC） 専務理事 早貸淳子氏

　そのJPCERT/CCでは近年インシデント報告の増加を見ている。特に2012年度は、1年の4分の3が過ぎた時点で報告件数が2011年度の倍に達した。「C＆Cサーバや踏み台PCは国内でも増加しており、情報漏洩の危険性のある深刻な案件が増えている」と、早貸氏は明かした。

　報告で最も多いのは、「脆弱性を探すスキャン行為」で、「Webサイトの改ざん」「DoS/DDoS攻撃」「フィッシング」と続く。特にWebサイトの改ざんは正規サイトをターゲットとするものであるため、怪しいサイトを見にいかないという従来の対策では防げない。

　一方で、知識不足によるずさんな対応によってリスクにさらされるケースも増えている。例えば、ある企業のWebサイトで画像埋め込み型の改ざんが発生した案件では、JPCERT/CCがすぐに対応要請を出したものの、該当企業はサーバ侵入を含めた調査を行わず、ただ問題の画像をサーバから外すことしかしなかったという。

　別のケースでは、最悪の事態を迎えた。JPCERT/CCは、C＆Cサーバ化した合計35台のサーバが複数の日本企業で発見されたと、海外のインシデント対応組織から連絡を受けた。急いで各組織に連絡したが、「なぜそんなことが分かったのか」「そこまで監視しているのか」などの質問攻めに遭い、数時間から数日間、説明に追われた結果、対応までに相当な時間がかかってしまった。

　だが、問題はそこで終わらなかった。それから2カ月後、早貸氏はまったく同じ報告を別の海外組織から受けた。さらに2カ月後、今度はマルウェア感染企業に関する報告を受けた。そこには、最初の連絡時にどう対応したか分からなかった企業の名前があったという。実は、これらは一連の攻撃キャンペーン内のインシデントだった。その企業が適切に対応しなかったために数カ月もの間利用され、情報を詐取され続けていたという。

　このような攻撃キャンペーンは複数組織に対して実施され、1社だけでは攻撃の種類や目的を判定できない。「まずは、サプライチェーン内の横展開への攻撃を止めること。それには、他組織と情報を共有し、JPCERT/CCのような外部組織の情報をうまく利用して、適切なログ管理や検索可能な仕組みをベースに正しい初動対応をしてほしい」（早貸氏）。

セッション1〜スマートデバイスのリスクとクラウド型MDMのメリット

　セッション1は、「スマートデバイス導入！ 今のセキュリティ対策だけで安心ですか？」と題し、インターネットイニシアティブ（IIJ）マーケティング本部 プロダクトマーケティング部 プロダクトマーケティング2課 プロダクトマネージャーの大野信吾氏が講演を行った。

インターネットイニシアティブ マーケティング本部 プロダクトマーケティング部 プロダクトマーケティング2課 プロダクトマネージャー 大野信吾氏

　スマートデバイスは、電子メールを筆頭に、Webサイトの閲覧、グループウェアおよび予定の管理、プレゼン用ツールなど、広く業務で活用されるようになった。とはいうものの、IIJの調査によると会社貸与またはBYODなど全社的に許可されている企業は3割程度で、一部許可しているのは約3割、残りは導入が許可されていないか検討中との結果となった。

　導入の課題として最も多く挙げられたのは「盗難・紛失時の情報漏洩」で、「ウイルス・マルウェアなどの感染」が続いた。「確かに片手で持てるスマートデバイスは盗難・紛失の可能性が高く、ウイルス感染についても不正アプリの増加などでリスクは上昇している」（大野氏）。

　しかし、利用を禁止しても利便性や業務効率から私物デバイスを裏で使う社員も少なくない。「スマートデバイスの特性や用途を理解せず、ただ禁止するのは対策にならない。また、利用を黙認するパターンも非常に危険だ」と大野氏は指摘する。

　「IIJ ゲートウェイセキュリティ」では、リモートアクセス、Webセキュリティ、メールセキュリティのほか、デバイス管理のクラウド型サービスを提供している。リモートロックやワイプ、パスワードや機能制限、Jailbreak端末の検出、位置情報の通知など、スマートデバイスを管理するために必要な機能が利用できる。

　「IIJ ゲートウェイセキュリティのメリットは、既存環境を変更することなく導入でき、一元管理ができる点だ。運用コストもオンプレミスより低い」。大野氏はそう述べ、スマートデバイスセキュリティ対策として外部サービスもぜひ検討してほしいとし、講演を終えた。

セッション2〜50を超える独自特許技術で支えるセキュリティサービス

　続いては、ゼットスケーラー シニアSEマネージャーの花壇明伸氏が「PCとスマートデバイスの統合Webセキュリティ！ Zscalerのご紹介」と題した講演を行った。

ゼットスケーラー シニアSEマネージャー 花壇明伸氏

　花壇氏は、現在最も対応が急がれるテーマとして、標的型攻撃とスマートデバイス対策を挙げた。まず標的型攻撃については、カスタムメイドのマルウェアが使われていることから、パターンファイルに基づく既知の対策では間に合わないことが課題と述べた。事実、同社のクラウド型セキュリティサービス「Zscaler」で2012年上半期に検知した攻撃のうち、パターンファイルやシグネチャで対応可能なウイルスは全体のわずか1％に過ぎなかったという。

　Zscalerでは、アンチウイルスやブラウザコントロール、新型の脅威対策など、各種セキュリティ対策を階層的に提供する。特に新型の脅威対策では、Webレピュテーションによる静的解析とページコンテンツのリアルタイム分析による動的解析を組み合わせた「Page Risk Index」、全トランザクションを分析する独自のクラウドマイニング技術「Interrogator」、「サンドボックス機能」を組み合わせて、強力な保護を実現する。

　スマートデバイス対策については、ZscalerプロキシノードへVPN接続するiOS向けのモバイルVPNソリューション、Android向けのセーフブラウザ「Zscaler SafeBrowser」（iOSは2013年4月リリース予定）、アプリの通信先やトラフィックパターンを解析してシグネチャを作成、通信内容を検査しレポート化する「Zscaler Mobile App Profiler」などを用意する。

　これらソリューションを支えるのは、Zscalerクラウドだ。Zscalerクラウドは、ポリシーを一元管理する「Central Authority」、ログ管理を行う「NanoLogサーバ」、世界各地に分散するクラウドノードで構成され、これらすべてがマルチテナント方式で管理されている。「利用者のトラフィックポリシーなどに応じて最適なリソースを割り当てる。セキュリティとパフォーマンスの両立が可能だ」（花壇氏）。

【関連ホワイトペーパー】

標的型攻撃対策、モバイルセキュリティ対策にも有効な統合型ソリューションとは？

http://wp.techtarget.itmedia.co.jp/contents/?cid=12252

ランチセッション〜2012年のセキュリティトレンドを振り返る

　ランチセッション「＠IT執筆陣が語る2013年のセキュリティトレンド」では、元＠ITの「Security＆Trust」フォーラム担当編集の宮田健氏をモデレータに、NTTデータ先端技術の辻伸弘氏、ラックのチーフエバンジェリストである川口洋氏、インターネットイニシアティブの根岸征史氏がパネルディスカッションを行った。

ランチセッションの模様

　最初に出されたお題「2012年、俺が熱かった出来事はこれだ！」では、辻氏がAnonymousの活動を挙げた。「日本語の壁で守られてきた日本が初めてターゲットになり、ニュースで取り上げられたのは大きい」。川口氏は、SECCONやHardeningといったセキュリティエンジニアを育てるイベントがニュースになったことを挙げ、根岸氏はGmailの乗っ取り事件といった、基本に立ち返って対策を考える必要性を感じる事件が多かったと感想を述べた。

　2つ目のお題「パスワードどうよ？」では、辻氏が「2年前の記事にも書いたが、定期的に変更しても意味がなく、運用に負荷がかかるだけ。使い回しも増える」とばっさり切った。根岸氏も、パスワードの大量漏洩事件を挙げ、使い回されていたパスワードを使った他サービスへの攻撃も観測されていると警告、専用ツールを使ったパスワード管理を推奨した。

　3つ目のお題は、「俺の前からいなくなってほしいもの2013」だ。これについては、全員一家言あるようで、まず川口氏と辻氏がJavaを挙げ、川口氏は「脆弱性が最も多いのにプリインストールで販売される。使ってもいないのに入っているのはやめてほしい」と苦言を呈した。さらに辻氏は「標的型攻撃」や「APT」など、聞くだけではよく分からない単語は使わないべきと指摘。モデレータの宮田氏は「（どうしても）キーワードで動くところがある」として、正しい情報の伝え方について改めて考えを巡らせた。

　一方の根岸氏が挙げたのは「メール」だ。「サービスの登録確認もメールが前提になるなど、狙われやすいのに日常の生活や業務での依存性が高い」（根岸氏）。

　最後のまとめとして、根岸氏は「セキュリティの課題は、言い続けないと根絶できない。今後も言い続けていきたい」と述べた。また、川口氏は「セキュリティ製品を運用する人の能力も重要。今後もこうした技能を高めるようなイベントを開催し、IT業界を良くする取り組みを実施したい」と抱負を述べた。辻氏は「守らなければならないものは、基本的に変わっていないし、埋めるべき穴も変わらない。脅威の情報に踊らされることなく、製品で何を防ぐのか、自社は何を守りたいのかを明確にしてほしい」と力を込めた。