脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム(5/5 ページ)
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
添付ファイルの無害化で強固なイントラネットを実現――クオリティア
クオリティア 営業本部 ソリューション営業部 部長 辻村安徳氏は「標的型攻撃は、やはり入り口で対策を〜添付ファイルに潜む脅威から情報を守る手段〜」と題してセッションを行った。
標的型攻撃による情報漏えい事件が大きく報じられたことを受け、サンドボックスや次世代ファイアウォールなど、さまざまな「多層防御」「出口対策」がクローズアップされてきた。しかしそれでも100%ということはない。従業員にリテラシー教育を実施しても、メールが業務に不可欠である以上、巧妙な細工がなされていれば開いてしまう可能性はある。一体どこまでやればいいのか、もうこんな思いはたくさんだ……そんな悩みを抱く企業は少なくない。
総務省ではこうした状況を踏まえ、地方自治体に対し、「ネットワーク分離」と添付ファイルの「無害化」というドラスチックな対策を実施して、ITシステムを「強靭化」するよう求めている。クオリティアの「Active! zone」は、このうちメールの無害化を実現するソリューションで、既に350を超える自治体で導入実績があるという。
辻村氏は、この無害化機能は自治体や官公庁だけではなく、エンタープライズにも適用可能だと説明した。Active! zoneでは、添付ファイルに含まれたマクロの除去と画像化、HTMLメールのテキスト化によって、悪意あるコンテンツを排除する。送られてきたメールは2系統に分かれ、1つは無害化した上で配信する一方、もう1つは原本保存サーバに保管され、原本性を確保する仕組みだ。
特徴の1つは、パスワード付き添付ファイルの扱いだ。「サンドボックスなどを導入していても、パスワード付きファイルはすり抜けて着弾する恐れがあるが、Active! zoneではワンタイムURLを活用している。リンクをクリックすると画像に変換されたファイルがプレビュー表示され、安全に内容を確認できる」(辻村氏)。
メールのヘッダ情報を解析し、どの国を経由して配送されたかを分かりやすく国旗で表示する仕組みも備えており、ITリテラシーが高くない従業員にも気付きを与えることができる。事実、「最近、ある社員が運送会社からのメールを受け取ったが、国旗表示によって、米国からウガンダ、リトアニア、中国を経由して送られてきたことが分かり、すぐに怪しいと気付いて開かずに済んだ」(辻村氏)。また念には念を入れて、間にサンドボックスや次世代ファイアウォールを組み合わせることで、より強固なイントラネットを実現できるとした。
セキュリティパフォーマンスのテストサービスを展開――東陽テクニカ
東陽テクニカのセッションでは、情報通信システムソリューション部 課長の高垣景二氏が登壇。「あなたは今どのくらいセキュアですか? 〜継続的なセキュリティテストの重要性〜」と題し、Spirent Communicationsが展開する「CyberFlood」を活用したセキュリティテストソリューションを紹介した。東陽テクニカは、2016年に「セキュリティ&ラボカンパニー」を設立するなど、海外ソリューションの国内展開を拡大している。
高垣氏は「セキュリティとパフォーマンスの最適ポイントは個々の製品ごとに違う。さまざまな装置や環境に適応したテストを既存ユーザーや正規のアプリケーションに影響を与えずに行うことが重要だ」と指摘。L4-L7アプリケーションパフォーマンステスター「Avalanche Commander」やセキュリティパフォーマンステスター「Cyberflood」の機能、新設した「SecurityLabs」のサービスを紹介した。
狙われやすいWebアプリケーションをクラウドWAFで守る――ペンタセキュリティシステムズ
講演「サイバー攻撃は、セキュリティ対策に取り組んでいる企業だけが知っている?! 〜 認知しなければわからないWeb攻撃の実情と今始める低コストのWebセキュリティ対策とは 〜」には、ペンタセキュリティシステムズ グローバルビジネス本部 日本セキュリティ戦略部門 ゼネラルマネージャー 陳貞喜氏が登壇した。
サイバー攻撃は、決して対岸の火事ではないが、それを理解している日本企業は少ない。ある調査会社が、企業がサイバー攻撃に気付くまでの期間を調査したところ、世界平均で99日だった。ところが、日本を含むアジア諸国の平均は172日だったという。
陳氏は、「“ウチのような小さな会社が狙われるわけはない”と思っていても、実は攻撃されているのに認識していないという企業が多い」と忠告する。
また陳氏は、「エンドポイントばかりでなく、サーバ/システム側のセキュリティにも注力してほしい」と述べる。特に企業システムの中核であるWebアプリケーションは、サイバー犯罪者から狙われやすいにもかかわらず、セキュリティ投資が低いという調査結果もある。まずはここから、サイバー攻撃のライフサイクルを切断したい。
「当社のクラウド型WAF『cloudbric』は、技術者が不足しがちで、大きなコストをかけられない組織に最適のソリューションだ。直感的に操作できるWeb画面が用意されており、クラウドでありながらアプライアンスと同レベルの機能を持ち、検知率も非常に高く、信頼性も世界中で高く評価されている」(陳氏)
次回は、中部電力、GEデジタル、パナソニックのセキュリティ対策事例
次回は、IoT、制御システム向けセキュリティの講演を中心に紹介する。中部電力、GEデジタル、パナソニックはセキュリティ対策にどう取り組んでいるのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- CSIRTが果たすべき「社会的責任」とは
@IT編集部が2017年2月に開催した「@ITセキュリティセミナー」レポートシリーズ。最終回は、これまでに紹介できなかったセッションの模様をまとめてお届けする。 - 「標的型攻撃に気付けない組織」にならないための確認ポイントとは
3回にわたりお届けしてきた「@ITセキュリティセミナー 〜迷宮からの脱出〜」レポート。最終回となる今回は、2016年6月28日に大阪で開催した同セミナーの中から、東京では行われなかったセッションの模様を紹介する。 - インターポールの考える「サイバー犯罪撲滅策」
@IT編集部は2016年3月8日、大阪市で「@ITセキュリティセミナー」を開催した。本稿では大阪会場のみで行われたセッションを取り上げて紹介する。