@ITセキュリティセミナーでサプライチェーンのセキュリティ対策について講演しました

2018年07月06日

京セラコミュニケーションシステム(KCCS)は、2018年6月22日(金曜日)、ホテル雅叙園東京で開催された「@ITセキュリティセミナー」で講演しました。

本イベントは、アイティメディア株式会社 @IT編集部が東京・大阪・福岡・札幌の4都市で開催するセキュリティ専門セミナーです。昨今、標的型攻撃や不正アクセスなどの被害がより身近なものになり、CSIRTの構築を検討するなど、インシデント対応強化の必要性を感じている企業が増加しています。
そのような中、さまざまな視点から昨今のセキュリティ脅威の実態を明らかにするとともに、どのようにすれば企業の懸念や課題を解決できるのか、有効な対策は何かを検討する目的で開催されました。

KCCSは、セキュリティ事業部 部長 兼 KCCS-CSIRT長 岡村 浩成が東京開催のセッションに登壇し、「新ガイドラインに見るサプライチェーンセキュリティのあるべき姿 ~セキュリティ最新事情をご紹介~」と題して講演しました。

  • CSIRT(シーサート:Computer Security Incident Response Team):セキュリティインシデント発生時の対応や事前予防・セキュリティ品質の向上など、組織内の情報セキュリティ問題を包括的・専門的に扱うチームのこと
@ITセキュリティセミナー 講演会場

KCCS講演「新ガイドラインに見るサプライチェーンセキュリティのあるべき姿 ~セキュリティ最新事情をご紹介~」

@ITセキュリティセミナー KCCS登壇

KCCSセッションでは、はじめに、最近のセキュリティ事情として、脆弱性への対策情報が公開されるとそれを悪用した類似攻撃が増加するケースや、仮想通貨の採掘(コインマイニング)のためサーバが踏み台にされるケースなどを取り上げ、攻撃がスピードアップしている点や攻撃の目的が増加している点を踏まえて、外部脅威対策の重要度が高まっていることをご説明しました。

次に、経済産業省と独立行政法人情報処理推進機構(IPA)が策定している「サイバーセキュリティ経営ガイドライン」を示し、昨年改訂された版では、サイバー攻撃から企業を守るため経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策の責任者に指示すべき「重要10項目」に、「サプライチェーンセキュリティ」の観点が強化され、ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握がより重要視されるようになっていることを解説しました。

@ITセキュリティセミナー 講演風景

そのうえで、さまざまなWebサービスと連携して構築しているイベント告知ブログのシステムを題材に、実際の被害ケースをもとにした改ざん、乗っ取り、情報漏えいに至るハッキング攻撃のデモを行いました。

デモでは、会員情報やクレジットカード情報などの個人情報を保有しない企業であっても、IP制限/ポート制限の設定ミスやAPIの仕様によって、提携先からWebサービス経由で個人情報を窃取されてしまう可能性があることを示し、1点を突破されるとそのインシデントがサプライチェーン全体に影響を及ぼすことを明らかにしました。

デモを踏まえて、Webサービスを中心に構築されているサプライチェーンのセキュリティ対策として、お互いの「信頼に甘えない」「信頼を裏切らない」姿勢が重要であると述べました。常に最新のセキュリティ動向を把握し、Webサービスの仕様を確認したり、定期的な脆弱性診断を実施したりするとともに、不要なIPアクセス/ポート開放を確認したり、重要情報にアクセスする場合に侵入を検知する対策製品の導入を推奨しました。

最後に、脆弱性管理ソリューション「Tripwire IP360」と変更検知・改ざん検知製品「Tripwire Enterprise」の機能をご紹介しました。「信頼に甘えない」「信頼を裏切らない」システム施策として、脆弱性管理ソリューションで検出した脆弱性リスクを定量化/優先度付けして管理し、変更検知・改ざん検知製品で侵入の痕跡を監視して、検知した事象に迅速な対応をとる、という攻撃者に隙を与えないセキュリティ体制をご提案し、講演を締めくくりました。

講演後のアンケートでは、「最新のセキュリティ動向の詳細がよく分かった」「攻撃のデモは臨場感があり、実際のインシデントをイメージすることができた」 などの感想をいただきました。

KCCSは、今後もセキュティソリューション「SecureOWL」のサービスメニューや取扱製品の拡充を図り、より一層お客様に貢献できるようサービス向上に努めて参ります。

ご来場いただいた皆様、誠にありがとうございました。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。