@IT セキュリティソリューションLive! in Tokyo レポート
“想定外”におびえないセキュリティ対策とは?
谷崎朋子
2012/3/30
セッション3 〜多層的なセキュリティ対策〜
午後の最初のセッションでは、日本ベリサイン SSL製品本部の大塚雅弘氏が「新たな負荷をかけずに構築する多層的なセキュリティ対策とは」をテーマに講演を行った。
アクセスデバイスやインフラが多様化する現在、インターネットはさまざまな観点から悪用されやすくなったと大塚氏は指摘した。「メールの悪用、Webサイトの改ざん、不正アクセス攻撃、SNSを利用した攻撃など、攻撃手法も多様化している」(大塚氏)。
 |
日本ベリサイン SSL製品本部 大塚雅弘氏 |
これらに対抗するには、2つのアプローチがある。1つは、ネットワークのアクセス制御や暗号化など、システムで対応できる部分。もう1つは、データの持ち出しルールの構築や委託業者の管理など、人や運用にかかわる部分である。特に後者は、ソーシャルエンジニアリングを駆使して情報を引き出す相手が敵となり、対策がなかなか難しい。
こうした課題には、多層的セキュリティ対策が有効と大塚氏は提案する。ベリサインでは、フィッシングメールを防ぐ「セキュアメールID」や、Webサイトの実在性を証明して通信を暗号化する「SSLサーバ証明書/EV SSL証明書」、Webアプリケーションの脆弱性を狙った攻撃を検出/防御するSaaS型WAF(Web Application Firewall)サービス「Scutum」、Webサイトのマルウェアスキャン、脆弱性アセスメントなどを提供している。
いずれも証明書とひも付けられており、Webサイトの信頼性と証明、情報漏えいなどに対する安全性が1つの証明書で実現できるのが特徴だ。「マルウェアスキャンや脆弱性アセスメントは、無償提供されているオプション機能。証明書のユーザーであれば、誰もが追加コストなしで利用できる」と、大塚氏は説明する。
なお、2012年4月以降、これまで使われてきたベリサインシールは「ノートンセキュアドシール」に、世界同時で自動変更される。「シールの認知向上やSSLの付加価値の提案を今後も続けていきたい」(大塚氏)。
セッション4 〜人の管理で安全と企業活動の改善を〜
IPAの調査によると、2010年2月の時点でISMS認証を取得した日本企業は世界1位の4006社だ。一方で、2010年の個人情報漏えい事件は過去最高の1679件に上る。
いまだに情報漏えいがなくならない理由は、管理ミスや誤操作、盗難など、人が原因の事故がなくならないからだと、エムオーテックス 代表取締役社長の高橋慎介氏は講演「次世代セキュリティはデバイスを繋ぐ『人』の管理で実現する!!」で指摘した。「いま必要なのは、ガバナンス、リスク、コンプライアンス(GRC)を支えるITログ管理。日々の管理から予兆を発見することが重要」と、同氏は強調する。
 |
エムオーテックス 代表取締役社長 高橋慎介氏 |
もっとも、セキュリティ強度を高めると利便性は低下しがちだ。「これからは、ただ禁止するのではなく、ログから正しい行動の実施状況を把握し、適切な抑止を行う。これにより、利便性を下げずにリスクだけを下げられる」(高橋氏)。
同社は4月23日に「LanScope Cat7」を、5月に「LanScope An」をリリース予定だ。
LanScope Cat7は、アプリケーションの利用状況やウイルス対策のパッチ適用状況、サイトへのアクセス、データの印刷・持ち出しなど、人の行動を可視化して企業を守りながら、企業の利益向上を支援する。「例えばアプリケーションの利用傾向が可視化されると、社員がどれくらい残業しているかなども見えてくる。残業時間が長すぎないか、疲労が生産性に影響を与えていないかなど、業務改善に有益な情報も引き出せる」(高橋氏)。
LanScope Anは、Android対応のMDM製品だ。就業時間はゲームアプリを使用禁止し、就業時間外は許可するなどの設定も可能で、私物端末の利用推進にも役立つ。また、GPS情報は営業訪問活動の効率化や配達業務のルート管理のほか、「ベテラン営業マンの活動履歴を見せることで、新人営業マンの育成ツールとしても活用できる」と、高橋氏はセキュリティにとどまらない活用方法を提案する。
セッション5 〜費用対効果も重要な要件に〜
セッション5は、フォーティネットジャパン コーポレートマーケティング部の余頃孔一氏が「増大する標的型攻撃の脅威、その対策とTCOの削減を両立するには?」と題して講演を行った。
 |
フォーティネットジャパン コーポレートマーケティング部 余頃孔一氏 |
現在の攻撃は、ボットネットなどを利用した不特定多数への攻撃と、DDoS攻撃などを利用した特定企業・団体への攻撃の2種類に分けることができる。後者の活発化が大きく注目される中で、前者のボットネットも新たな動きを見せており、標的型攻撃と同様に注視が必要と余頃氏はいう。
「最近は、ユーザーがマルウェアを実行した後に自分自身を削除して証拠隠滅を図るなど、ますます巧妙化している。特にSpyEyeボットネットのソースコードが流出して、誰もが安価に手に入れられるようになった。リスクは見逃せない」(余頃氏)。
一方で、企業ITの意識はBYOD(私物デバイスの持ち込み活用)やBCP(事業継続性)など、業務の円滑化や経済活動の維持などへもシフトしている。セキュリティ製品の選定においても、機能や性能よりもTCO削減が要件のトップに上がっている。いまやセキュリティはシステムの一部品としてとらえられており、費用対効果の高いセキュリティ製品が求められていると、余頃氏は分析する。
こうしたニーズに応えるのが、同社が提供する複合脅威管理アプライアンス「FortiGate」だ。独自開発の専用プロセッサを搭載する同製品は、高速性、次世代ファイアウォール製品以上の多機能性、低価格が特徴だ。「一般的な次世代ファイアウォールが提供する機能は、ウイルス/スパイウェア対策やアプリケーション制御、Webフィルタリング、VPNなどにとどまる。FortiGateは、さらにSSLインスペクションやDLP、脆弱性診断、仮想アプライアンスなど、拡張性に優れた多くの機能を搭載する」(余頃氏)。価格も10万円台からあり、高スペックを低価格で手に入れられる。
FortiGateを導入することで、ファイアウォール/IDP/ウイルス対策/スパム対策機能を利用し、仮想UTM機能で部門ごとにUTMルールを変更する複合対策が施せる。また、ユーザーからのHTTP/HTTPS以外の通信や不要なアプリケーションなどを遮断し、ログ監視でマルウェア感染PCを早期発見する、アウトバウンド対策も可能だ。「トークンも提供しているので、BYODやBCP対策にも利用できる製品だ」(余頃氏)。
セッション6 〜ユーザー教育も含む対策を〜
これまでの標的型攻撃は大手企業をターゲットにしてきたが、これからはセキュリティ投資が少なく手薄になりがちな中小企業へシフトする――セッション6「最新のサイバー攻撃から企業を守る3つのベストプラクティス」で、ソニックウォールの澁谷寿夫氏はこうした新たな傾向について警鐘を鳴らした。
 |
ソニックウォール 澁谷寿夫氏 |
実際、同社のIPSでは古い脆弱性を狙うマルウェアが2011年以降、目立って増えたことを検知しているという。「あらゆる可能性が狙われていることから、今後は入口対策と出口対策に加えて、ユーザー教育も徹底することが鍵となる」と澁谷氏は指摘する。
同社の「SonicWALL 次世代ファイアウォール(NGFW)」は、入口・出口対策に加えて、アプリケーションコントロールを提供する。
入口および出口対策としては、ファイアウォール、VPN、ゲートウェイAV対策、アンチスパイウェア、IPS、コンテンツフィルタなどを総合的に提供する。マルチコアアーキテクチャなどによる高速処理で、全機能を有効にした場合も最大10Gbpsのスループットを担保する。
一番の肝となるのが、アプリケーションコントロールだ。「セキュリティ対策で一番重要で、しかも難しいのは、ユーザー教育。どんなに優秀な製品を導入しても、これが抜け落ちているとすべてが台無しになる」(澁谷氏)。
この点について、SonicWALL NGFWはアプリケーションコントロールで補完する。同機能は、アプリケーション、ユーザー、URLなど、ネットワークの使用状況をリアルタイムに可視化し、禁止アプリをブロックする。新機能の「SonicWALL Application Risk Management Report」では、リスクの高いアプリケーショントップ20をグラフ化し、直感的な対応を支援する。「ユーザーのアクティビティを適切に管理することで、システム側からユーザー教育を支援できる」(澁谷氏)。
このほか、同製品と連携するiOS/Android用VPNクライアント「Mobile Connect」は、アプリケーションレベルのネットワークセキュリティとエンドポイントコントロールを実現する。社内ポリシーに沿った対策を携帯端末まで適用できることで、企業ITシステム全体としてのリスク軽減を実施できる。
特別講演 〜平時の訓練が有事の即戦力に〜
セミナーを締めくくったのは、NTTデータ NTTDATA-CERTシニアエキスパートの宮本久仁男氏による講演「CSIRTに求められる役割と実務〜NTTDATA-CERTを例に」だ。
NTTデータは、セキュリティインシデント対応を実施する専門チーム、CSIRTを、自社内に設置している。「NTTDATA-CERT」と呼ばれる同組織は、「これまで事業部門単位で実施してきたCSIRT活動を集約し、専門チームを発足させた。活動内容は、製品やサービスなどにも還元され、より安全、安心を顧客に提供している」。宮本氏はこれまでの背景をそう説明する。
NTTDATA-CERTの活動は、セキュリティリスク低減のための平時の活動と、セキュリティインシデント発生時の対応の、2つに分けられる。一般にCSIRTの活動はインシデント発生時が重要と思われがちだが、実際は平時の活動がすべての基礎になると、宮本氏は説明する。
 |
NTTデータ NTTDATA-CERT シニアエキスパート 宮本久仁男氏 |
「実戦で頼れるのは自分の経験値のみ。いかに平時に知識や経験を蓄積し、訓練しているかが、有事の即戦力につながる」(宮本氏)。
平時の活動内容は、「動向調査」「インシデント対応力強化」「情報発信・教育/啓発」「特定組織/システム向けの活動」「予兆検知」「対外活動」が挙げられる。これらをベースに、インシデント発生時の総合対応訓練(DryRun)を実施し、必要に応じてグループ企業にノウハウを提供している。
内部のみの活動だけではない。「組織内CSIRTだけでは限界がある。社内外とやりとりして、事例の情報共有を通して自社の取り組みに勘案し、効率的な対応へと展開している」。
そのためにも、信頼関係を築くためのフォーマル/インフォーマルなやりとりを積極的に行っていると宮本氏はいう。これらは、あらゆる業種のIT部門にも通じる。社内外のコミュニケーションを重視することは、最終的に自社のセキュリティ強化につながる。同じ目的を持つもの同士、連携することも対策であると述べ、宮本氏は講演を締めくくった。
| 【関連記事】 高度化する攻撃に「集約」して対抗、NTTデータのCSIRT(@ITNews) http://www.atmarkit.co.jp/news/201106/13/nttdata.html |
 |
2/2 |
| Index | |
| “想定外”におびえないセキュリティ対策とは? @IT セキュリティソリューションLive! in Tokyo レポート |
|
| Page1 基調講演 〜基本設計から見直すこれからの対策〜 セッション1 〜クライアントPCを起点とする漏えい対策〜 セッション2 〜ネットワークの視点で考える標的型攻撃対策〜 ランチセッション 〜“基本”で対抗する標的型攻撃〜 |
|
 |
Page2 セッション3 〜多層的なセキュリティ対策〜 セッション4 〜人の管理で安全と企業活動の改善を〜 セッション5 〜費用対効果も重要な要件に〜 セッション6 〜ユーザー教育も含む対策を〜 特別講演 〜平時の訓練が有事の即戦力に〜 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
