2013年における日本国内の企業・団体に対するサイバー攻撃の件数は約128億件にも上ると言われている。近年の傾向から見て、2014年はさらに増加していることは確実だろう。
「今、日本は世界中から格好の標的として狙われています」と警告を発するのはサイバーセキュリティ対策の専門事業者である株式会社サイバーセキュリティクラウド 代表取締役である横田武志氏である。
同社が提供するサイバーセキュリティ対策ソリューション「攻撃遮断くん」はGMOクラウド株式会社が提供するパブリッククラウドサービス「ALTUS」において、セキュリティ対策の一翼を担っている。
本記事では、横田氏とGMOクラウド 技術部に所属する森田幸人氏と立山恵士氏が、「2014年のサイバーセキュリティのトレンドとその対策」について話し合った座談会の模様を紹介する。
セキュリティ意識は低いがお金がある、世界中から標的とされる「日本」
株式会社サイバーセキュリティクラウド 代表取締役 横田武志氏 |
横田氏: 近年、サイバー攻撃で特に増えてきているものはWebページの改ざんです。IPA(独立行政法人 情報処理推進機構)が公開している情報セキュリティ10大脅威※1でも、2位から4位までがWebに関わるものとなっています。また、第5位にある「オンラインバンキングからの不正送金」も、2014年は上期だけで18億円と前年上期と比べて約6倍※2になっており、注目が集まっています。
森田氏: われわれサービス事業者の立場で見ると、最近特に増えたと感じるものは、管理者を装って侵入し、IDやパスワード、IPアドレスを変更してしまう「ドメインの乗っ取り」です。ただ、侵入パターンもたくさんあり、われわれの内部だけでは対処できない問題もあります。
立山氏: ほかにも印象に残っているものといえば、ShellShock問題※3ですね。これが発生した時はアクセスログを見て青ざめ、エンジニアが大急ぎでアップデート作業を行いました。ただ、これがわれわれのシステム内の話であれば自分たちの手で対処できるのですが、お客さまのOSやアプリケーションの脆弱性だと手が届かないので、そこが悩ましいところです。
横田氏: 特に日本では「セキュリティはサーバー会社が全部やってくれているもの」と思い込んでいる人がいまだに多いようです。サーバー側だけでは不可能なことがたくさんあるのですが、切り分けが曖昧で、企業内のセキュリティ対策が手付かずのまま残ってしまっているケースが少なくありません。例えば、2014年の2月にFlashPlayerの脆弱性をついた攻撃がありましたが、その90%以上が日本※4へ向けたものでした。先ほど不正送金の例を挙げましたが、実はオンライン銀行の取引を標的とした攻撃についても日本が世界で1位※5となっています。しかも、犯人はほとんど捕まっていません。お金はあるのにセキュリティ意識が低い日本は、世界中から格好の標的として狙われている、それが今の現実です。
サイバーセキュリティ対策は企業の社会的責任
GMOクラウド株式会社 技術部 開発セクション 開発グループ チーフ 森田幸人氏 |
森田氏: インターネットは世界中とつながるツールです。つまりWebを作って公開した時点で、世界中に向けて発信したことになり、同時に世界中から攻撃を受けることになります。となると当然、セキュリティは世界基準で考えなくてはなりません。そのための啓蒙活動がもっと必要なのかもしれません。
横田氏: 確かに、その辺りの意識は日本では低いようです。例えば、米国では多くの企業が有価証券報告書にサイバー攻撃に対するリスク開示の項目があります。残念ながら、日本ではそこまでやっている企業はほとんどありません。ですが、2014年にはサイバーセキュリティ基本法が成立するなど、徐々にではありますが日本国内でも意識は高まってきているようです。
立山氏: 2020年のオリンピック開催を控え、今後の日本に対するサイバー攻撃は間違いなく増えるでしょう。法整備も進み、企業としても社会的責任としてセキュリティ対策が求められてくるようになるはずです。ただ、実際にお客さまのお話を伺うと、セキュリティの重要性は理解していても、なかなか手が回らない方々が多く、そこには人手の問題やコストの問題などいろいろありますが、やはり意識の問題が一番大きいようです。
基本的な防衛策で、大半のサイバー攻撃は防ぐことができる
GMOクラウド株式会社 技術部 インフラセクション 立山恵士氏 |
横田氏: 例えば標的型のような、大企業や官公庁を狙う大がかりな攻撃を想定してしまうと、対策のハードルは高くなります。ですが、実際に発生しているサイバー攻撃の96%は、最低限の基本的な防御策で防ぐことができます。例えば、IDやパスワードの管理、ソフトウェアのアップデート、サーバーやWebアプリに対する不正アクセスの遮断、ログの監視など、それらを定期的に実行するだけでも、ほとんどのサイバー攻撃は防御可能です。特別なことをするのではなく、基本的なことを徹底する、われわれの提供する「攻撃遮断くん」も基本的な防御策の一つです。
立山氏: クラウドにも対応している「攻撃遮断くん」は、「ALTUS」のセキュリティを高める重要な存在です。かつては、クラウドに対してセキュリティの不安を訴える方も多かったのですが、最近では実績も広がってきたためか、そのような声も少なくなりました。
横田氏: ただサービスを導入しただけでは、あまり効果はありません。せっかく監視ログを取得していていも、日々しっかりと確認する体制ができていなければ、攻撃を受けていることすら気が付かないでしょう。
森田氏: 外からの攻撃だけではなく、内部からの漏洩にも対処するためには、監視体制とルール作りは大切です。ただ、このことはセキュリティ担当の皆さんもとっくにご存知かと思います。でも、それを訴えてもなかなか経営層には伝わらない、そこがつらいところです。
ALTUSx攻撃遮断くんの構成例ページはこちら
https://www.gmocloud.com/example/basic04.html
まず可視化から、そうすれば現在の状況が一目瞭然に
横田氏: 森田さんがおっしゃる通り、悩んでいるセキュリティ担当の方が非常に多いです。「セキュリティの必要性を訴えても、なかなか会社に理解してもらえない」にも関わらず、「何か問題が起きたら責任を取らされてしまう」、本当に損な役回りです。でも実際にどれだけ攻撃を受けているか可視化できたら、どんなに楽観的な経営者の方でも恐ろしさを感じるはずです。
立山氏: 実際、中小と呼ばれる規模の企業でも、世界中から月に数百件レベルの攻撃を受けているケースがあります。それを目の当たりにすると、セキュリティに対する意識を変えざるを得ないでしょう。
森田氏: 「攻撃遮断くん」のレポートを見ると、サーバーを立ててインターネットに接続した瞬間に攻撃のグラフが表示されます。現在のインターネットが、どれだけ危険な状況にあるのか、それを知ることこそが、セキュリティ対策の第一歩になると思います。
横山氏: 現在「攻撃遮断くん」では、調査レポート付きの一カ月無料トライアルを受け付けています。まずはこちらを試して現在どのような状況なのかを知っていただきたいと思っています。驚かれると思いますよ。
* * *
※1 2014年版 情報セキュリティ10大脅威(IPA:2014年3月31日発表)
https://www.ipa.go.jp/security/vuln/10threats2014.html
※2 平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況について(警視庁:2014年9月4日発表)
https://www.npa.go.jp/cyber/pdf/H260904_banking.pdf
※3 ShellShock:UNIX系OSで使用されているbashというプログラムに重大な脆弱性が発見された問題
※4 平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況について(シマンテック:2014年5月30日発表)
http://www.symantec.com/connect/ja/blogs/adobe-flash-2
※5 「国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析」(トレンドマイクロ社:2014年9月10日発表)
http://blog.trendmicro.co.jp/archives/9884
GMOクラウドソリューション
IPS+WAF SaaSセキュリティ「攻撃遮断くん」
http://solution.gmocloud.com/security/kogekisyadankun/
「GMOクラウド ALTUS」
https://www.gmocloud.com/