特別企画
インタビュー

2015年のセキュリティ動向
今、必要なセキュリティ対策とは

2014年は大規模な情報漏えいや外部からの攻撃が相次いで発生し、クラウドサービスも多くの攻撃にさらされた。こうした脅威に対して、企業はどのように備えていけば良いのだろうか。その脅威と対策について、KCCS ICT事業統括本部 技術顧問 徳丸 浩氏とプロダクトサービス営業本部 本部長 大迫 哲郎氏に話を聞いた。

INDEX

2014年に発生した特徴的なセキュリティインシデント

-2014年に発生したセキュリティインシデントで、特徴的なものを教えてください

ICT事業統括本部 技術顧問 徳丸 浩

(徳丸)まずは情報漏えいが挙げられます。昨年ニュースなどでも多く取り上げられた内部不正による情報漏えい事件ですが、調べてみるととてもしっかりとしたセキュリティ対策が行われていました。例えば、セキュリティの2大原則と言われる「ひとり 1 IDの原則」「最低限の権限を与える」といったことは守られていたようです。それは、短期間で原因を特定できたことにも現れています。ここで考えなければならないことは、しっかりとしたセキュリティ対策を行っていたにも関わらず情報漏えいが発生してしまったということであり、このようなことがないよう定期的にセキュリティ対策の見直しやルールに基づく運用がされているかを確認することが重要です。


また、外部からの攻撃としてSQLインジェクションも引き続き発生しています。SQLインジェクションへの対策手法はすでに確立されていて、例えば2010年にIPAから発刊された「安全なSQLの呼び出し方」の通りに対策を行えばSQLインジェクションの被害は防ぐことができるはずです。情報漏えいをはじめとするセキュリティリスクは、システム開発会社にとって対岸の火事ではありません。先日SQLインジェクションによって情報漏えいが発生した企業が、サイトを構築した開発会社を訴え、開発会社が約2千万円の賠償金を支払う判決が下された事案がありました。これまで開発側に責任を求められるような判例はありませんでしたが、セキュリティ事故については開発会社にも責任を課せられることがあるのです。

そのほかに、2014年にはVPS(仮想専用サーバ)のクラウドサービスの管理コンソール(コントロールパネル)が乗っ取られ、Webサイトが書き換えられるという事件もありました。原因は、管理者に送られたフィッシングメールで、メールのリンクをクリックしログインしてしまったことでした。このリンク先が偽のログインページとなっており、IDとパスワードを盗まれてしまったのです。
攻撃者は入手したIDとパスワードでコントロールパネルにログインし、OSを入れ替えて改ざんしたコンテンツをアップロードしました。さらにその様子をTwitterで実況中継するなど、愉快犯的な要素の強い事件でした。VPSはクラウドの簡易版サービスという位置づけのため、サービスのほとんどはIDとパスワードだけのログイン認証しか用意していません。たとえば二段階認証などを採用しているケースは少ないのです。

-こういったセキュリティインシデントを受けて、お客様の反応はいかがでしたでしょうか?

プロダクトサービス営業本部 本部長 大迫 哲郎

(大迫)大規模な情報漏えい事件が発生するたびに、「現在のセキュリティ対策で大丈夫なのか」「何をすればいいのか」といったお問い合わせが多くありました。個々の対策はしていても、トータルで見てセキュリティ対策は足りているのか、そこに最低限必要な指針や判断基準となるものがないため不安を抱かれているお客様が多いように感じました。これはクラウドサービス利用についても同様です。また先ほど話が挙がった開発会社が有罪判決を受けた情報漏えい事件も衝撃的だったようです。開発会社からのお問い合わせも増えました。


【次ページ】最新のセキュリティリスクに備えるために必要なこと