ここから本文です

業務スマホへのマルウェア感染、損害は1台当たり100万円!?

@IT 7月20日(水)6時10分配信

 @ITは、2016年6月23日に東京・青山ダイヤモンドホールで「@ITセキュリティセミナー ~迷宮からの脱出~」を開催した。本稿では、前回に引き続き、そのレポートをお届けする。

【その他の画像】情報漏えいなど、インターネットにまつわる事件を防ぐための個人/企業での対策の必要性

●スマートフォンのマルウェア感染で1台あたり100万円!?

 エンドポイント向けセキュリティソリューションと脅威インテリジェンスを提供するルックアウト・ジャパン エバンジェリスト 兼 エンジニアの石谷匡弘氏は、「IT管理者が知らないモバイル脅威の現実」と題し、モバイルを活用したビジネススタイル変革の中で、IT管理者が考えるべきセキュリティ対策について解説した。

 「モバイルデバイスの導入は、企業にとって大きな効果を生む施策であることは間違いありません。しかし一方で、マイクやカメラ、位置情報システムなどを搭載したモバイルデバイスは膨大な量の機密情報へアクセスでき、ある調査によれば、5万ユーザーほどの規模でマルウェアなどに侵害されれば、1台あたり約100万円の損害を被る可能性があるとされています」(石谷氏)

 昨今ではAndroidだけでなくiOSに感染するマルウェアも登場しており、“iOS安全神話”はもはや崩れ去ったともいわれる。会社支給端末をジェイルブレイクしたり、危険なWi-Fiに接続したりするユーザーは決して少なくなく、企業ネットワークは大きなリスクを抱えることになる。

 こうした状況に石谷氏は、「MDMによる資産管理だけでは不十分」と指摘。「MDMだけでなく、未知の脅威や正規のストア以外からアプリを入手してインストールする『サイドローディング』への対応、マルウェア感染の可視化などを実現するモバイルセキュリティソリューションを組み合わせたフルスタックのセキュリティ対策が必要だ」と述べ、アセスメントサービスなども活用しつつ、モバイルデバイスのセキュリティ対策を強化することの重要性を強調した。

●オンプレミス/クラウドWAF、それぞれの特徴を理解して最適な選択を

 「Webサーバを守るうえで有効な対策はクラウドか、それともオンプレミスか」と題した講演を行ったのは、マクニカネットワークス 営業統括部 サイバーセキュリティ第2営業部 第3課の原口正太郎氏だ。

 Webアプリケーションが日々さまざまな攻撃にさらされていることは、多くの企業の担当者も認識しているが、数あるセキュリティ対策ソリューションの中から、自社にとって最適なものを決めるのに苦労している組織は少なくない。また、同様のソリューションでもクラウド/オンプレミス型のどちらを選択すべきなのかといった点も悩みの種となる。

 Webアプリケーション特有の脆弱(ぜいじゃく)性に対処するという意味では、「WAF(Webアプリケーションファイアウォール)」を導入するのは有効な選択肢の1つだ。アプライアンスなどのオンプレミス型WAFは、基本的に高パフォーマンスで、細かな設定が可能というメリットがあるが、導入・設定が難しいことやインフラの管理・運用工数が膨らむデメリットがある。一方のクラウド型WAFは、導入が容易かつ運用コストが安価で、構成の柔軟性も高いが、オンプレミス型ほどの細かな設定ができないといった弱点がある。これに対して原口氏は「重視したいポイントを絞ることが重要だ」と述べた。

 これは近年激化しているDDoS攻撃対策ソリューションでも同様で、オンプレミス/クラウド型の選択に迷った際は、「Webサーバの場所やWebサーバ以外のシステムの防御が必要かどうかという点に注意して、最適なものを探すこと。また、Webサイトの運営で必須であるDNSサーバの防御を考慮するのも重要なポイントです」(原口氏)。

●クラウド活用のための認証は、簡単・共通・厳密に

 インフォコム サービスビジネス事業本部 サービスビジネス営業部 上級主任の高瀬慎太郎氏は、「クラウドサービス活用においてID統合認証サービスを導入すべき理由とは?!」と題して、クラウドサービスを活用する際のセキュリティ対策や、ID統合認証サービスのメリットについて解説した。

 総務省情報通信白書によれば、クラウドを活用する企業は増え続けており、調査を行った企業のうち半数以上が何らかのクラウドサービスを利用している/利用を検討しているという(関連リンク)。一方でクラウドを利用しないと答えた企業のうち、“必要ないから”に次いで多かった理由が、“情報漏えいなどセキュリティに不安がある”だった。ここにクラウド促進のためのポイントがあると高瀬氏は指摘する。

 クラウドサービスが持つセキュリティリスクの1つは、「認証」にある。例えば、複数サービスでのパスワードの使い回しは代表的なセキュリティリスクの1つだ。また、認証情報を管理する担当者の負荷が増すことも、認証情報の更新漏れなどにつながる危険性がある。

 「複数のサービスの認証を“共通化”することにより、ユーザーとともに管理者の負荷を軽減し、併せて本人性確認や機体認証などの技術で認証をより“厳密”にするのが、クラウド利用におけるセキュリティリスクを低減する上では効果的です」(高瀬氏)

 これに対して高瀬氏は、「具体的にはシングルサインオンとディレクトリサービスの連携によってアカウント管理の負荷を軽減し、アクセス制御や多要素認証の技術を組み合わせてセキュリティレベルを向上させる。これにより、クラウドサービスを簡単かつ安全に活用できるようになり、ワークスタイル変革にも貢献できます」と主張した。

●“リーガルセキュア”なエンジニアになろう

 続く特別講演では、デジタルフォレンジック研究会に所属する検事であり、“ハッカー検事”として知られる大橋充直氏が、「リーガルセキュアなエンジニアになろう(^o^)/ 裁判におけるデジタルフォレンジックはいかにして行われるか(個人的見解)」と題した講演を行った。「最低限必要となるサイバー犯罪の基礎を学び、“法的にも”セキュアなシステム作りを学ぼう」というのが、同氏の主張だ。

 はじめに大橋氏は、時間や場所の隔たりを廃するインターネットを“人類史上最大最高の至福のインフラツール”として絶賛する。そして「それだけに、インターネットに関する凄惨な事件や、ネットいじめの被害者、あるいは情報漏えいによって多額の賠償金を請求された被害者による自殺が発生してしまうことが悲しい。こうした事件は『遺族から一生恨まれ続ける最悪のシナリオ』だ」と述べ、情報漏えいなどのインターネットにまつわる事件を防ぐための個人/企業での対策の必要性を訴えた。

 次に大橋氏は昨今のサイバー犯罪の傾向について、「昨今のサイバー犯罪には、詐欺や児童売春、窃盗、いじめなどの一般犯罪が含まれるようになってきています。ツールを使えばPC1台で“組織的な”犯罪を実行することができ、若い、技術的には“素人”の犯罪者も増えています。豪州では、無線LANを通じて病院のシステムに侵入され、投薬データを改ざんされたという例もありました。無線で人を殺めることができるのです。また、今後クラウドとIoTの技術がさらに進展すれば、遠隔操作犯罪、国境越え捜査という形で、捜査や公判にも大きな影響を与えることになるでしょう」と述べ、現代を「SMRC&BTT(Social, Mobile, Remote access control, Cloud & Big data analytics, IoT, cyber Terrorism)」の時代だと定義する。

 その上で大橋氏は、このSMRC&BTTの技術が非常に有用であると同時に、弊害を生み出していると指摘。例えばSNSは、「1人で数台の街宣車を保有するようなもの」であり、被害情報の拡散には有効だ。しかし、そのログは比較的短期間で削除されるため、問題が起きた際の管理提出も不完全なものになってしまう危険性がある。また、モバイルはいつでもどこでも使える一方で、公判中にマスコミへ情報をリークしてしまうなどの犯罪に悪用されることがある。さらにクラウドが普及することで、国境を越えたリモートアクセスが一般的に行われるようになり、捜査・公判が難しくなっている。

 ただし大橋氏は「ビッグデータ」に関しては、解析に活用することで、「“前足後足(犯行前と犯行後の容疑者の行動・挙動)”」の科学的証拠化が容易になったと評価する。同氏によれば、サイバー犯罪捜査の基本はログ読みだ。例えば、攻撃と思しきトラフィックから、「2秒で100文字も入力している」「通常はあり得ないような国外からの接続が行われている」といった情報を読み取り、犯意や手口を客観的に推論するのだという。実際に検察の世界では「技術の再現性」が重要だと考えており、大橋氏はこれを「論より証拠」ならぬ「論よりRUN」と表現する。つまり、サイバー犯罪者を追い詰めるためには、防犯カメラやドライブレコーダーのように、システムが時系列で事実を推認できる証跡を残すことが必要ということだ。

 「さすがに、『六法全書』を持っているエンジニアの方は少ないと思いますが、ぜひ興味があれば、“リーガルセキュア”の考え方について学び、スキルアップを図っていただきたいと思います」(大橋氏)

●セキュリティ人材育成に「資格」を活用しよう

 グローバルに人材育成を推進する非営利業界団体のCompTIA日本支局でシニアコンサルタントを務める板見谷剛史氏は、「効果的なセキュリティ人材の育成をゼロベースで考える」と題した講演を行った。

 昨今はセキュリティエンジニアの人材不足が叫ばれている。板見谷氏はこれを「鶏卵問題」と表現する。経済産業省の発表によれば、2016年には13万人のセキュリティエンジニアが不足し、2020年には不足が19万人を超えるとされているという。板見谷氏はこの状況に対して、「2015年に教育機関でセキュリティを学び、これを修めた人材はたった130人。卵が少なすぎます」と指摘する。

 そこで板見谷氏は、企業内でこの“卵”を育成するポイントとして、「まず企業としての“ビジョン”を掲げ、次にそれを達成するための事業部門の施策を策定すること。次に下層から、各課で必要な“短期的ゴール”や各部で必要な“中長期ゴール”を策定すること。そしてその上で、事業部をまたいで共通するものは“若手育成”し、各階層に共通の“階層教育”を施す」といったステップが必要だと解説した。

 板見谷氏は最後に、「こうした人材育成においては、資格を効果的に活用してほしいと考えています。日本企業は、資格の活用がヘタです。欧米では、個人のキャリアゴールを達成する道のりとして資格が有効活用されています」と述べ、「もちろん、海外のやり方をそのまま真似ればよいというものではありませんが、国家資格やベンダー資格も含めて、自社に即した“資格の活用方法”を検討してほしいと思います」とまとめた。

[廣瀬治郎,@IT]

最終更新:7月20日(水)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]