あらゆる企業でデジタルトランスフォーメーション(DX)への取り組みが進む現代において、企業に蓄積されるデータの価値はますます高くなっている。企業の情報資産を狙うサイバー攻撃は高度化・多様化を続け、ランサムウェアなど金銭(身代金)目的で特定企業をターゲットにする攻撃も増加。さらに国内・海外でプライバシー保護規制が策定され、個人情報を含む機密データの漏えいは企業の存続にも関わる損害につながるようになった。こうした状況において重要度を増しているのが"データセキュリティ対策"だ。本稿では、7月11日に都内で開催されたセミナー『デジタルトランスフォーメーション時代のセキュリティ対策を考える ~情報漏洩からどのように企業の機密データを守るのか~』の講演内容をレポート。データセキュリティの最前線で活躍する5人のキーマンが語る、最新のサイバー攻撃と、組織が意識するべきセキュリティ対策のポイントについてお伝えしていきたい。
|
|
セキュリティインシデント対応の第一人者が
最新の脅威動向と対策の"勘所"を紹介
セミナーは、JPCERT コーディネーションセンター(JPCERT/CC)の平岡 佑一朗氏による【基調講演】『最近の攻撃動向と組織における対策の必要性』で幕を開けた。JPCERT/CCは、コンピュータセキュリティインシデントへの対応支援や再発防止対策の検討や助言、国内外に設置したセンサーによるインターネット定点観測、さまざまな情報源から攻撃活動の兆候を探索・分析、IT機器やソフトウェアの脆弱性を修正するための製品開発者との調整など、「日本におけるセキュリティ向上を推進する活動」を企業や団体の情報セキュリティ担当者を対象に行っている組織である。また、海外のセキュリティ組織や海外CSIRTとの連携役も担っており、経済産業省からの委託によるサイバー攻撃等国際連携対応調整事業も行っている。
|
|
一般社団法人 JPCERT コーディネーションセンター |
平岡氏は、最新の海外動向としてランサムウェアの脅威が続いていることをあげ、2019年3月にノルウェーのアルミニウム大手 Norsk Hydro社がランサムウェア「LockerGoga」に感染した事例をピックアップ。第1四半期決算で57億円もの損失を計上するなど、巨額の被害が出たことを紹介した。日本においては感染事例の公表はあっても、業務サービス停止や損失が発生するような大規模感染は報告されていないという。ただし、ランサムウェア感染特有の諸事情(データが暗号化されはしても漏えいしたわけではないこと)から損害を公表していないケースもあるのではないかと、平岡氏は予測する。
講演では、さらにいくつかの海外事例を紹介し、近年増加している「ビジネスメール詐欺」の手口が解説された。また、国内においてはWebサイトが改ざんされてマルウェア配布に悪用されるケースが多いと平岡氏。複数のサイトを経由させることで攻撃を把握しづらくなっていると、新たな攻撃動向に警鐘を鳴らす。平岡氏は、改ざんサイトに誘導する不審メールに関し、「IDやパスワードなどのアカウント情報が窃取され、企業やサービスの"正規のアカウント"から送られてくるため騙されやすくなっています」と語り、その要因の1つとしてIDやパスワードの使い回しを指摘した。
このように、サイバー攻撃の手法は進化し続けているため完全に防ぐことは難しいのが現状。重要なのは「インシデントが起きたときの対応」だと平岡氏は力を込める。インシデントの発覚は、JPCERT/CCなどの「セキュリティ機関からの通知」、CPUやネットワーク負荷の増大といった「システム異常の検知」、漏えい被害があった顧客など「外部からの問い合わせ」などさまざまなパターンがあり、こうした情報を見逃さない体制作りが大切。関連部門のスムーズな情報共有が迅速なインシデント対応につながるという。さらに、インシデントの種類によってはメールやWebサイトを停止させる必要もあるため、関連部門や顧客への「他の」通知方法を確保しておくことも必要となる。
平岡氏は「攻撃を未然に防ぐ方法は重要ですが、同じくらい防げなかった場合の対策も考えておかなければなりません」と、組織におけるインシデント対応の指針を提示。「情報を盗まれても悪用されない形式で保存しておく」「情報へのアクセスが必要な経路からのみ可能にしておく」といったデータセキュリティ対策の"勘所"を紹介してくれた。
「タレス データ脅威レポート」から見える
「暗号化」を取り入れたセキュリティ対策の重要性
続いてのセッションでは、タレスジャパンの畑瀬 宏一氏が登壇した。2019年4月に、デジタルセキュリティベンダーとして世界中でビジネスを展開するジェムアルトを買収し、デジタルセキュリティ分野における事業を大幅に拡大したタレスグループは、ITおよびデータセキュリティに責任または影響力のある全世界1,200人の企業回答者に対してアンケート調査を実施。日本における調査結果をまとめた「2019年 タレス データ脅威レポート 日本市場版」を公開した。
|
|
タレスジャパン株式会社 |
全世界のITセキュリティ部門 上級経営幹部1,200名以上、日本においてもエンタープライズ規模の企業担当者約100名に調査を行った本レポートからは、憂慮すべきポイントが見えてくると畑瀬氏は語る。デジタル技術を使ってビジネスのプロセスを変える取り組みであるDXは、現代の企業にとってもはや必須といえるものだが、レポートでは92%の組織がクラウド(SaaS/IaaS/PaaS)、ビッグデータ、IoT、コンテナ、モバイル決済といったDXのテクノロジーで機密データを扱っているという結果が出ている。これらのテクノロジーは80%以上の企業で採用されており、今後も導入率は向上していくと予想されている。 「はたして、その導入環境は安全なものになっているのでしょうか?」 と畑瀬氏は問いかける。レポートでは、58%の回答者が自社のデジタルトランスフォーメーション イニシアチブが「安全」であると答えているが、その一方でデータを暗号化していると答えた企業は33%にしか過ぎなかった。この結果を受け、本レポートの調査・分析を担当したIDCからは「回答者は十分なセキュリティがあると考えているが、慢心による錯覚の可能性がある」という厳しいコメントが出ているという。その反面、多くの企業がデータへの脅威に対して「脆弱」であると回答しており、「脆弱」でありながら「安全」という認識のズレが生じていると畑瀬氏は考察する。
今回の調査では、過去にデータ漏えいを体験した企業が45%、データ漏えいが複数回発生した企業も12%に及んだ。これは「データ漏えいを経験し対策を講じた大企業でさえ、再度の情報漏えいが起こる可能性がある」ことを示していると畑瀬氏。"データ漏えいは起こるもの"と考えたうえで対策を行うことが重要と語る。
GDPR(EU一般データ保護規則)をはじめ、データプライバシーに関する規制は世界中で策定・実施されており、データ漏えいによって厳しい罰則が課された企業も少なくない。金銭はもちろん、企業ブランドの失墜など極めて深刻な損害が発生してしまう可能性が高いが、日本では危機感を保つ企業の割合が少ない傾向にあるという。マルチクラウド環境が当たり前となり、"守るべき場所"が多様化した状況で機密データを保護するには、新たなセキュリティ手法が不可欠。まず行うべきは『暗号化』であると畑瀬氏は語り、DXへの取り組みには暗号化が重要な要素となると講演を締めくくった。
鍵管理サーバー「DSM」を中心に構築する
「暗号化」ソリューションの実力を理解
本セミナー3つ目の講演となる『ハイブリッドおよびマルチクラウド環境のデータ保護対策』では、キヤノンマーケティングジャパンの太田 高明氏が登壇。前セッションでも語られたクラウドサービス利用におけるセキュリティ課題と、その解決を支援する「暗号化」ソリューションについて解説してくれた。
|
|
キヤノンマーケティング |
2018年には、前年比27.2%増となる6,688億円の市場規模に達した国内パブリッククラウドサービスには、今後も高い成長が見込まれている。複数のクラウドサービスを導入している企業も多く、「所有」から「利用」へとITインフラのシフトが進んでいるのが現状といえる。パブリッククラウドで業務システムを運用する場合、そこで使われる"データ"の保護責任はクラウド事業者ではなく利用するユーザー(企業)側にある。パブリッククラウドを利用する企業には「クラウドサービス事業者に機密データを見られたくない」「オンプレミスと同様にデータをコントロールしたい」「暗号化の鍵管理を一元化したい」「クラウド環境にもオンプレミスと同様のコンプライアンス要件を適用したい」といったニーズがあると太田氏は話す。
多くの企業が利用している主要なクラウドサービスには、すでに暗号化機能が搭載されている。ただし、マルチクラウド環境では、それぞれのサービスの管理画面で設定を行う必要があり、鍵管理も含めて管理者の負担が大きくなる。クラウドセキュリティのベストプラクティスを広めているCloud Security Alliance(CSA)でも「暗号化の鍵はクラウドサービス上ではなく、利用者または信頼できる鍵管理プロバイダが保管しなければならない」としており、自社で暗号化鍵を保管することが推奨されている。こうした課題を解決するソリューションとして太田氏が提示したのが、タレスジャパンが開発した暗号化製品「Vormetric Data Security Platform」となる。鍵管理サーバー「DSM(Data Security Manager)」を中心に、暗号化、鍵管理、トークナイゼーションといったコンポーネントで構成されており、暗号データの保存先と暗号鍵を分離。マルチクラウド・ハイブリッドクラウド環境全体の暗号化と鍵管理を一元化することができる。
講演では、太田氏によってVormetric Data Security Platformの各コンポーネットの詳細を解説。さまざまなプラットフォーム、データベース、アプリケーション、コンテナに対応し、すでに構築してあるシステムに容易に導入できるシンプルな構成を実現し、短期間で高度な暗号化環境を構築・運用できることが説明された。クラウドサービス事業者がクラウド型ファイル共有サーバーの暗号化に導入した事例や、医療機関がシステムに保存した患者情報などの個人データを暗号化で保護した事例、さらに決済代行事業者がトークナイゼーションを導入した事例などが紹介され、多数のセミナー参加者が熱心に聞き入っていた。
暗号化と並行して取り組みたい
ユーザー認証/アクセス管理の必要性
続いてのセッションでは、ジェムアルト(タレスグループ)の前田 俊一氏による講演『マルチクラウド活用のセキュリティ対策:完全防御からリスク極小化へ』で、暗号化にともなう認証/アクセス管理の重要性が語られた。
|
|
ジェムアルト株式会社 |
日本においてもマルチクラウドを活用していく流れが加速してきており、社内だけでなく外出先や自宅からのログイン、つまりアクセス元の多様化も進んできた。こうした状況でセキュリティを担保するための手法としてポイントとなるのが、ここまでのセッションで語られてきた「暗号化」だが、暗号化するだけではなく、閲覧させる必要があるユーザー本人に対し、正しくデータを見せる必要が生じる。このため、「データの暗号化」と合わせて「本人の特定」、すなわち認証とアクセス管理を考えていくことが必要と前田氏。「『誰がアクセスしてきたのか?』(認証)、と『誰がいつアクセスし、そのIDはどのように確認したのか』(アクセス管理)を把握できれば、必要なユーザーが暗号化したデータにアクセスできる環境を構築することができます」と語る。
講演では、米国の政府機関がセキュリティ対策を実施する際に利用することを前提とした「NIST」のレポート「SP800」シリーズで定義されている本人認証のガイドラインが紹介され、パスワードの考察や多要素認証、シングルサインオンの有用性などが解説された。そして、暗号化にともなうユーザー認証/アクセス管理の課題を解決するソリューションとして前田氏があげたのが「SafeNet Trusted Access」だ。多要素認証、シングルサインオン、アクセス制御、ログイン制限、AD連携、特権ID管理といった機能を取り揃えており、ハイブリッドIT環境における各サービスへのログイン作業のセキュリティと利便性を大幅に向上。さらにクラウドアプリの利用状況を「可視化」したり、クラウドアプリを追加する場合も容易にアクセスポリシーを設定できる「拡張性」を実現するなど、数多くのメリットが存在する。
SafeNet Trusted Accessでは、SAML連携できるクラウドアプリすべてを一元管理可能で、主要なクラウドはすべて網羅していると前田氏。ハードウェアトークンも含め多種多様なトークンを利用でき、クラウドアプリごとにアクセスルールを設定できる柔軟性を持っているのがポイントと語り、セミナー参加者の注目を集めていた。
セキュリティ対策に求められる「当事者意識」と
インシデント発生時に重要な"透明性"のある顧客対応
本セミナー最後のセッションとなったのは、ソフトバンク・テクノロジーの辻 伸弘氏による【特別講演】『正しく知り、育てる力 ~驚異と向き合う素地~』。プリンシパルセキュリティリサーチャーとして、さまざまなイベントやセミナーで講演を行っている辻氏ならではの軽快な語り口で、データセキュリティの最新事情について解説された。
|
|
ソフトバンク・テクノロジー株式会社 |
「パスワードに関する常識、非常識は時代とともに変わっていますが、利用するユーザーの意識はこの数年大きな変化がありません」 辻氏は、不正アクセスが増加している要因として「1人が扱うサービスの増加」に加え、「長く複雑なパスワード、定期的な変更ルールといったパスワードの鉄則」が逆効果となっていると指摘する。セキュリティベンダーの調査によると、複数のWebサービスを利用しているユーザーのほとんどがパスワードを使い回しているという。
前のセッションでも紹介されたNISTのSP-800-63B(電子的認証に関するガイドライン)でも、「パスワードの定期的な変更は必要ない」と書かれているが、これはサービスを提供する側に対する文言(変更を繰り返すとパスワードが弱いものになっていくという研究結果に基づく指針)であり、利用ユーザーが「パスワードを変更しなくてよい」とするものではないと辻氏。セキュリティのガイドラインを読み解く際には「誰に向けて書かれたものか」を意識することが重要と語る。
同ガイドラインでは、安全なパスワード管理のために「8文字以上必須。64文字以上を許容」「複雑さを強制しない」「パスワードではなくパスフレーズ」というルールを推奨している。また、イベントドリブンでパスワードの変更を強制できることも記されており、インシデントが発生した際に迅速にパスワードを変えられる仕組みが必要であることがわかるという。
講演では、自社のメールアカウントが漏えいしているかを確認できるWebサイトの紹介や、前述したガイドラインを考慮してセキュリティ対策を講じた企業の事例解説を展開。ユーザーにパスワード変更を強いるのではなく、システム側で定期的にパスワードを検査し問題のあるものに対して変更を指示するなど、セキュリティ対策がユーザーの負担とならないような施策が紹介されていた。辻氏は、セキュリティ対策における管理者と利用者を「クルマとドライバーの関係」に例え、「いかに高度な安全対策機能がクルマに搭載されていても、ドライバーがルールを守らなければ事故は起こってしまう。それと同様に、企業セキュリティにおいても管理者・利用者双方が「当事者意識」を持たなければ安全性は担保されません」と語る。
さらに講演の後半では、ランサムウェアに実際に感染してその流れを確認し、「事前の対策」「事後の対策」のポイントを解説。インシデントが発生した際に、迅速かつ誠実な"透明性"のある顧客対応を行うことの大切さが、海外企業でのランサムウェア感染事例を参考にして語られていった。
ここまで紹介してきた5つのセッションを通じ、DX時代に必要なセキュリティ対策の本質と、導入すべきテクノロジー/ソリューションが明らかにされた。「どこにある何を守るのか」を把握し、「暗号化」「鍵管理」「ID認証/アクセス管理」といったキーワードを意識しながらセキュリティ体制を構築する。本セミナーは、これからの"データセキュリティ"のあるべき姿を垣間見せてくれる内容となっていた。
[PR]提供:タレスジャパン
