Tweet

Webサイト基盤の集約で対策を

「セキュリティの最も弱い輪は海外拠点」、NRIセキュア

2012/07/05

　NRIセキュアテクノロジーズ（NRIセキュア）は7月5日、同社が提供するマネージドセキュリティサービスやセキュリティ診断サービスから得られた集計データに基づいた「サイバーセキュリティ 傾向分析レポート 2012」を公表した。

　2011年から2012年にかけては、グローバルに事業を展開している日本企業で、Webサイトの改ざんや情報漏えい事件が相次いだ。「セキュリティ対策が不十分な海外拠点のWebサイトが『ウィーケスト・リンク（最も弱い鎖の輪）』となっている」と、同社コンサルティング事業本部 テクニカルコンサルティング部 浅野岳史氏は指摘する。

　NRIセキュアが2011年8月から9月にかけて実施した調査でも、海外拠点を持つ企業の66.2％が、情報セキュリティ対策の結果確認を「現地の裁量に任せている」と回答した。加えて、「海外拠点の支店長として、経理や総務といった業務に加え、情報セキュリティ対策も兼務させられるという過剰な兼務をさせられた結果、業務優先でセキュリティ対策にまで手が回らないのではないか」（浅野氏）。パッチの適用状況などを見ても、国内拠点よりは海外拠点の方が脆弱である傾向が高い。また同じようなセキュリティレベルの「ギャップ」は、国内の本社と地方拠点の間にも見られるという。

　この問題の解決策として同社では、各地に点在しているWebサイトの基盤を集約すべきだとした。数百カ所に分散しているものを、1つとまではいかなくとも数カ所に集約することでセキュリティ対策を一元化できるうえに、運用管理の負荷も軽減できる。それが困難な場合は、Webサイトへのアクセス経路をWAF（Webアプリケーションファイアウォール）を経由するよう変更することでも、一定のリスクを緩和できるという。

　こうした攻撃の足がかりとして使われるのが「脆弱性」だ。脆弱性が発見されたならば、なるべく早期にパッチを適用することで侵入などの被害を防ぐことができる。

　しかし、「1年間に数千、数万という脆弱性が発見されており、すべてに対応しようとしても手が回らない。その上、パッチ適用による副作用を防ぐため、検証の手間も掛かる」（浅野氏）ことから、本当に危険な脆弱性に的を絞って対策することを推奨した。同時に、「本当に危険な脆弱性」を判断できる人材や体制を整えることも重要だという。

　2011年に話題となった脅威といえば、「標的型攻撃」だ。Facebookをはじめとするソーシャルメディアの普及によって、ターゲットに関する情報を簡単に収集できるようになった結果、信憑性の高そうな標的型メールが、より容易に作れるようになっているという。NRIセキュアではこの標的型攻撃への対策は「多層防御」に尽きるとした。その一環として、標的型メール攻撃を体感させる「訓練」を推奨するという。

　もちろん、標的型メール訓練を行ったからといって、開封率を0％に下げることはできない。しかし、「『まさか自分のところにはこのようなメールはこないだろう』というユーザーの意識を変えて、攻撃の可能性を減らす役に立つ」（浅野氏）。こうした取り組みをシステム側の対策と組み合わせ、セキュリティレベルの全体的な底上げにつなげていくべきだと述べた。