2015年のセキュリティ動向 今、必要なセキュリティ対策とは

2015年05月11日

2014年は大規模な情報漏えいや外部からの攻撃が相次いで発生し、クラウドサービスも多くの攻撃にさらされた。こうした脅威に対して、企業はどのように備えていけば良いのだろうか。その脅威と対策について、KCCS ICT事業統括本部 技術顧問 徳丸 浩氏とプロダクトサービス営業本部 本部長 大迫 哲郎氏に話を聞いた。

2014年に発生した特徴的なセキュリティインシデント

Q
2014年に発生したセキュリティインシデントで、特徴的なものを教えてください
A

(徳丸)まずは情報漏えいが挙げられます。昨年ニュースなどでも多く取り上げられた内部不正による情報漏えい事件ですが、調べてみるととてもしっかりとしたセキュリティ対策が行われていました。例えば、セキュリティの2大原則と言われる「ひとり 1 IDの原則」「最低限の権限を与える」といったことは守られていたようです。それは、短期間で原因を特定できたことにも現れています。ここで考えなければならないことは、しっかりとしたセキュリティ対策を行っていたにも関わらず情報漏えいが発生してしまったということであり、このようなことがないよう定期的にセキュリティ対策の見直しやルールに基づく運用がされているかを確認することが重要です。

また、外部からの攻撃としてSQLインジェクションも引き続き発生しています。SQLインジェクションへの対策手法はすでに確立されていて、例えば2010年にIPAから発刊された「安全なSQLの呼び出し方」の通りに対策を行えばSQLインジェクションの被害は防ぐことができるはずです。情報漏えいをはじめとするセキュリティリスクは、システム開発会社にとって対岸の火事ではありません。先日SQLインジェクションによって情報漏えいが発生した企業が、サイトを構築した開発会社を訴え、開発会社が約2千万円の賠償金を支払う判決が下された事案がありました。これまで開発側に責任を求められるような判例はありませんでしたが、セキュリティ事故については開発会社にも責任を課せられることがあるのです。

そのほかに、2014年にはVPS(仮想専用サーバ)のクラウドサービスの管理コンソール(コントロールパネル)が乗っ取られ、Webサイトが書き換えられるという事件もありました。原因は、管理者に送られたフィッシングメールで、メールのリンクをクリックしログインしてしまったことでした。このリンク先が偽のログインページとなっており、IDとパスワードを盗まれてしまったのです。
攻撃者は入手したIDとパスワードでコントロールパネルにログインし、OSを入れ替えて改ざんしたコンテンツをアップロードしました。さらにその様子をTwitterで実況中継するなど、愉快犯的な要素の強い事件でした。VPSはクラウドの簡易版サービスという位置づけのため、サービスのほとんどはIDとパスワードだけのログイン認証しか用意していません。たとえば二段階認証などを採用しているケースは少ないのです。

ICT事業統括本部 技術顧問 徳丸 浩

Q
こういったセキュリティインシデントを受けて、お客様の反応はいかがでしたでしょうか?
A
(大迫)大規模な情報漏えい事件が発生するたびに、「現在のセキュリティ対策で大丈夫なのか」「何をすればいいのか」といったお問い合わせが多くありました。個々の対策はしていても、トータルで見てセキュリティ対策は足りているのか、そこに最低限必要な指針や判断基準となるものがないため不安を抱かれているお客様が多いように感じました。これはクラウドサービス利用についても同様です。また先ほど話が挙がった開発会社が有罪判決を受けた情報漏えい事件も衝撃的だったようです。開発会社からのお問い合わせも増えました。

プロダクトサービス営業本部 本部長 大迫 哲郎

最新のセキュリティリスクに備えるために必要なこと

Q
このようなリスクに対して、企業や開発ベンダ・サービス事業者にはどのような対策が求められますか?
A

(大迫)まず大前提として、セキュリティ対策は機器などを入れて終わりというわけではありません。サイバー攻撃は常に最新の技術を駆使して攻撃してくるため、対策する側も常にバージョンを最新の状態にし、継続して保護していく必要があります。これは外部からの脅威対策だけでなく、内部脅威対策にも同じことが言えます。

また、セキュリティ対策機器やツールだけでなく、社内のルールについても定期的に見直していくことが重要です。そこで有効になるのは、導入しているセキュリティ機器やツール、さらに自社のルールや人の運用も含めて、定期的な診断を外部に依頼してみることです。そうすると、自社のどこに問題があるのかが明確になるため、どのような対策をすれば良いのか明らかになります。このような診断を行った上でコンサルティングを受けると、より確実と言えます。

(徳丸)自社のセキュリティ対策状況を把握するには、情報セキュリティ監査制度に基づく監査がありますが、基準通りに対策をしていれば100点満点を取れます。恐らく大規模な情報漏えいが発生した組織も実施していたと推測されます。この監査に求められることは、技術や脅威の進化に合わせて常にアップデートしていかなければならないことと、ハッカー的な視点を設けることです。しかし一般的な監査にはこれらが欠落している場合が多いので、監査と診断の両方を定期的に行うべきでしょう。そういう姿勢を見せることは、従業員の"出来心"への抑制にもなると思います。

(大迫)またSQLインジェクション対策としては、まずWebアプリの脆弱性診断が効果的です。これにより脆弱性が作り込まれていないかをチェックできます。現在は、脆弱性攻撃の対象がミドルウェアやフレームワークへと拡大しているため、より広範囲に行える脆弱性診断を選択すべきでしょう。ただし、脆弱性診断を行う際には適正な見積りが必要となり、実際の診断までに時間を要する傾向があります。例えば、決済方法にチケット制を設けているようなサービスを利用することで、その分見積り時間を短縮できるため、短期間のキャンペーンサイトなどにも有効な手段と言えます。

クラウドサービス利用におけるセキュリティ対策については、先ほどお伝えしたコントロールパネルの乗っ取り事件のきっかけとなったフィッシング対策をはじめ、コントロールパネルそのもののセキュリティ診断、また管理者に対する運用面での教育も必要になります。さらに、クラウドサービス上で展開しているWebサイトの保護として、クラウドサービスに対応した統合脅威対策や、Webサイトの変更管理・改ざん検知などのソリューションも有効です。

(徳丸)2015年に入りましたが、現在のところ目新しい攻撃は確認されていません。ただし、従来の攻撃はより洗練されてきています。例えば、パスワードリスト攻撃はログイン試行の頻度を落としたり、都度送信元(IPアドレス)を変更するといった手法にシフトしつつあります。これでは普通のログインと見分けがつきません。このように洗練度は上がっていきますが、セキュリティ対策の基本は変わりません。まずは自社のセキュリティリスクを洗い出す脆弱性管理が対策の基本となります。

プロダクトサービス営業本部 本部長 大迫 哲郎
ICT事業統括本部 技術顧問 徳丸 浩

セキュリティ事業の新ブランド「SecureOWL(セキュアオウル)」立ち上げについて

診断サービスをベースに、インテグレーションや各種サービスを提供するセキュリティ事業の新ブランド「SecureOWL(セキュアオウル)」を立ち上げました!鋭い眼光と広い視野で、暗闇でも見通すフクロウ(OWL)をブランドキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供して参ります。

詳細を見る

取材時期: 2015年3月

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。