“法的にもセキュアな”システムを作れるエンジニアになろう：「＠ITセキュリティセミナー 〜迷宮からの脱出〜」レポート（2）（1/2 ページ）

＠IT編集部が2016年6月23日に東京・青山ダイヤモンドホールで開催した「＠ITセキュリティセミナー」レポートの第2弾をお届けする。

[廣瀬治郎，＠IT]

連載目次

　＠ITは、2016年6月23日に東京・青山ダイヤモンドホールで「＠ITセキュリティセミナー 〜迷宮からの脱出〜」を開催した。本稿では、前回に引き続き、そのレポートをお届けする。

スマートフォンのマルウェア感染で1台あたり100万円!?

ルックアウト・ジャパン エバンジェリスト 兼 エンジニア 石谷匡弘氏

　エンドポイント向けセキュリティソリューションと脅威インテリジェンスを提供するルックアウト・ジャパン エバンジェリスト 兼 エンジニアの石谷匡弘氏は、「IT管理者が知らないモバイル脅威の現実」と題し、モバイルを活用したビジネススタイル変革の中で、IT管理者が考えるべきセキュリティ対策について解説した。

　「モバイルデバイスの導入は、企業にとって大きな効果を生む施策であることは間違いありません。しかし一方で、マイクやカメラ、位置情報システムなどを搭載したモバイルデバイスは膨大な量の機密情報へアクセスでき、ある調査によれば、5万ユーザーほどの規模でマルウェアなどに侵害されれば、1台あたり約100万円の損害を被る可能性があるとされています」（石谷氏）

　昨今ではAndroidだけでなくiOSに感染するマルウェアも登場しており、“iOS安全神話”はもはや崩れ去ったともいわれる。会社支給端末をジェイルブレイクしたり、危険なWi-Fiに接続したりするユーザーは決して少なくなく、企業ネットワークは大きなリスクを抱えることになる。

　こうした状況に石谷氏は、「MDMによる資産管理だけでは不十分」と指摘。「MDMだけでなく、未知の脅威や正規のストア以外からアプリを入手してインストールする『サイドローディング』への対応、マルウェア感染の可視化などを実現するモバイルセキュリティソリューションを組み合わせたフルスタックのセキュリティ対策が必要だ」と述べ、アセスメントサービスなども活用しつつ、モバイルデバイスのセキュリティ対策を強化することの重要性を強調した。

オンプレミス／クラウドWAF、それぞれの特徴を理解して最適な選択を

マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第3課の原口正太郎氏

　「Webサーバを守るうえで有効な対策はクラウドか、それともオンプレミスか」と題した講演を行ったのは、マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第3課の原口正太郎氏だ。

　Webアプリケーションが日々さまざまな攻撃にさらされていることは、多くの企業の担当者も認識しているが、数あるセキュリティ対策ソリューションの中から、自社にとって最適なものを決めるのに苦労している組織は少なくない。また、同様のソリューションでもクラウド／オンプレミス型のどちらを選択すべきなのかといった点も悩みの種となる。

　Webアプリケーション特有の脆弱（ぜいじゃく）性に対処するという意味では、「WAF（Webアプリケーションファイアウォール）」を導入するのは有効な選択肢の1つだ。アプライアンスなどのオンプレミス型WAFは、基本的に高パフォーマンスで、細かな設定が可能というメリットがあるが、導入・設定が難しいことやインフラの管理・運用工数が膨らむデメリットがある。一方のクラウド型WAFは、導入が容易かつ運用コストが安価で、構成の柔軟性も高いが、オンプレミス型ほどの細かな設定ができないといった弱点がある。これに対して原口氏は「重視したいポイントを絞ることが重要だ」と述べた。

　これは近年激化しているDDoS攻撃対策ソリューションでも同様で、オンプレミス／クラウド型の選択に迷った際は、「Webサーバの場所やWebサーバ以外のシステムの防御が必要かどうかという点に注意して、最適なものを探すこと。また、Webサイトの運営で必須であるDNSサーバの防御を考慮するのも重要なポイントです」（原口氏）。

クラウド活用のための認証は、簡単・共通・厳密に

インフォコム サービスビジネス事業本部 サービスビジネス営業部 上級主任 高瀬慎太郎氏

　インフォコム サービスビジネス事業本部 サービスビジネス営業部 上級主任の高瀬慎太郎氏は、「クラウドサービス活用においてID統合認証サービスを導入すべき理由とは？！」と題して、クラウドサービスを活用する際のセキュリティ対策や、ID統合認証サービスのメリットについて解説した。

　総務省情報通信白書によれば、クラウドを活用する企業は増え続けており、調査を行った企業のうち半数以上が何らかのクラウドサービスを利用している／利用を検討しているという（関連リンク）。一方でクラウドを利用しないと答えた企業のうち、“必要ないから”に次いで多かった理由が、“情報漏えいなどセキュリティに不安がある”だった。ここにクラウド促進のためのポイントがあると高瀬氏は指摘する。

　クラウドサービスが持つセキュリティリスクの1つは、「認証」にある。例えば、複数サービスでのパスワードの使い回しは代表的なセキュリティリスクの1つだ。また、認証情報を管理する担当者の負荷が増すことも、認証情報の更新漏れなどにつながる危険性がある。

　「複数のサービスの認証を“共通化”することにより、ユーザーとともに管理者の負荷を軽減し、併せて本人性確認や機体認証などの技術で認証をより“厳密”にするのが、クラウド利用におけるセキュリティリスクを低減する上では効果的です」（高瀬氏）

　これに対して高瀬氏は、「具体的にはシングルサインオンとディレクトリサービスの連携によってアカウント管理の負荷を軽減し、アクセス制御や多要素認証の技術を組み合わせてセキュリティレベルを向上させる。これにより、クラウドサービスを簡単かつ安全に活用できるようになり、ワークスタイル変革にも貢献できます」と主張した。