サイバー攻撃の脅威はメディアなどでも頻繁に取り上げられており、その対策方法についても目にしたり耳にしたりする機会は多い。しかし、そうした脅威の実態や、理想論ではなく現実解としての対策方法となると、有益な情報は簡単には見つからない──なかなか語られることのないサイバー攻撃の真相や現実的なセキュリティ対策法について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション「マイナビニュース WEBセキュリティセミナー あの不正アクセスはなぜ起きたのか? セキュリティ専門家が事件の裏側を徹底討論」が12月5日に開催される。

三銃士が登壇する「WEBセキュリティセミナー」(12月5日(木) 虎ノ門)の参加申し込みはこちらから(参加費無料)

今年9月に東京と大阪で開催され好評を博したセミナーの追加公演となる今回もまた、"セキュリティ三銃士"が盛りだくさんのオフレコ話とともにWebサイト攻撃の裏側で起きていることや現実的な対策方法について議論を繰り広げるはずだ。第一回は最近のWebサイト攻撃の中でも特に注意すべき脅威について、第二回では今の日本企業に足りない事は何なのかレポートしてきた。最終回となる今回は、パネルディスカッションに登壇する三名の目線から、「セキュリティに関わる人達へのメッセージ」についてお届けする。

セキュリティに関わる人達へのメッセージ

左からインターネットイニシアティブ セキュリティ情報統括室 根岸征史氏、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、HASHコンサルティング 代表取締役 徳丸浩氏

これまでの二回の記事では、Webサイト攻撃の最新事情や企業のセキュリティ対策の運用面の課題について、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、インターネットイニシアティブ セキュリティ情報統括室 根岸征史氏、HASHコンサルティング 代表取締役 徳丸浩氏の“セキュリティ三銃士”に本音の議論を繰り広げてもらった。パネルディスカッション前哨戦、その最終回となる本記事では、セミナー当日に伝えたいことについて、来場者に向けたそれぞれのメッセージを送ってもらった。

敵を知る前に、まず自分たちのことを知って欲しい──辻氏


辻氏:まずは、セキュリティ対策を行う上で直面する様々な脅威について、無闇に怖がっては欲しくないと思っています。

セミナーでは、「何を守りたいのか?」を明確にする為のきっかけやヒントを伝えたいと話す辻氏

セキュリティ対策を行うときに大切な事柄の1つに「敵を知る」ということがあると思いますが、それよりももっと大切なのは「何を守りたいのか?」ということなんです。 それに対して、「何が脅威なのか?」、「自分たちは何ができていて、何ができていないのか」というのを改めて考えて欲しいのです。つまり、「敵を知る前にまず自分たちのことを知る」ということを始めていただきたいというわけです。

パネルディスカッションでは、そのきっかけ、ヒントになるような内容についてお話させてもらうことで、1つでもいいから新たに何かを皆さんに持って帰っていただこうと思っています。

限りがある予算内でも、実践できるセキュリティ対策は沢山ある──徳丸氏


徳丸氏:最近、不正アクセス事件が多発していますので、いろいろと心配されている情報システム部門の方が多いと思います。

目的を明確化する事で、採用すべき対策がみえてくると話す徳丸氏。どういったケースでどういった対策を採用すべきかは、パネルディスカッションにてお話しいただけるだろう。

ただ、侵入経路自体はここ何年もずっと変わっていなくて、それに対してとるべき対策というのもわりと決まっているんだということを知っておいて欲しいですね。そして、高価な製品を購入しなくても、実はできることがこんなに多いんだという事実を伝えたいです。

根本対策がとりやすいものはまずそこをしっかり行い、漏れが生じやすい脆弱性対処についてはWAFを使って守る。そしてそれでも万一侵入された場合に備えて、改ざん検知システムを導入する等といったように、目的を明確にして、効果的な対策を採用することをぜひお勧めしたいです。


被害に気づく仕組みをぜひ考えて欲しい──根岸氏


根岸氏:厳しい言い方かもしれませんが、Webサイトのセキュリティ対策をしっかり行っていたとしても、侵入や改ざんというのは起きるときには起きてしまうものです。

侵入されることを前提とした「検知」の重要性について、運用面の課題を交えて伝えたいと語る根岸氏

しかも、実際の被害事例を見ると、外部からの指摘によってはじめて気付くことが非常に多いのです。ですから、そうした被害を受けてしまった時に、どうすれば適切なインシデント対応ができるか、ということにももっと気を配ってほしいと思います。

できれば、外部から指摘されるよりも先に、自分たちでサイバー攻撃による被害を検知できる仕組みがあるとさらにいいですよね。今後は、侵入されることも想定した「検知」の重要性がますます高まってくるだろうと思います。そのような要素も含めたこれからの運用面での課題などについても、ぜひパネルディスカッションを通じて伝えたいですね。


──三銃士によるメッセージの具体的な内容については、まもなく開催されるWebセキュリティセミナーのパネルディスカッション第一部「"オフレコ話"が盛りだくさん! Webサイト攻撃の裏側で起きていること」と、第二部「運用現場に必要な心構えと対策」で話される予定だ。これからのセキュリティ担当者や経営層にとって欠かすことのできない内容となるのは間違いない。興味をもった方はぜひ会場の扉を叩いてみてはいかがだろうか。