待ったなし! 攻めのIT投資で現状を打破せよ

vol.02 Introduction サイバー・グリッド研究所長に聞く 対策の現状と今やっておくべきこと

vol.02 Introduction サイバー・グリッド研究所長に聞く 対策の現状と今やっておくべきこと

Writer : 野本 幹彦

Data : 2017/10/06

株式会社ラックは、同社が運営するセキュリティ監視センター「JSOC(Japan Security Operation Center)」で約900社のセキュリティ状況を監視し、今現在、どのような脅威が迫っているかを熟知している会社だ。また、2014年にそれまでの研究部門を強化拡充した「サイバー・グリッド・ジャパン」を設立し、セキュリティに関する情報収集、技術研究、啓発活動、人材育成を行っている。この研究部門にあるサイバー・グリッド研究所で所長を務める川口 洋氏に、セキュリティの現状と対策のコツをうかがった。

ランサムウェアの現状

株式会社ラック サイバー・グリッド・ジャパン
サイバー・グリッド研究所長 チーフエバンジェリスト
川口 洋 氏

2017年5月にWannaCry(ワナクライ)というランサムウェアが大きく報道されたが、WannaCryは日本のセキュリティ対策の大きな転換期となったと川口氏は話し始める。「WannaCryの脅威によって、総理官邸の危機管理センターに情報連絡室が立ち上がったことが印象的ですね。情報連絡室は本来、原発事故やミサイルの飛来、大災害などの国の一大事の際に立ち上がるものです。サイバーの事案で情報連絡室が立ち上がったのは、私の知る限り初めてだと思うので、大きな歴史の転換点となったと感じました」。

WannaCryの後に、Petya(ペチャ)などの亜種が出てきたが、日本の企業は過去に標的型攻撃で情報漏えいなどの被害に遭っている企業もあるため、対策がとられており、大規模な被害が出たという情報はないと川口氏は説明する。しかし、一方で、ランサムウェアは表に情報が出にくいことも明かしてくれた。「個人情報漏えいなどとは異なり、ランサムウェアは暗号化などでシステムを使えなくして身代金を請求するのが目的です。個人情報の情報漏えいは、官庁などに報告する義務があり、世の中にニュースとして出てきますが、ランサムウェアの被害は、システム障害として処理され、情報として出てきにくくなっています」。

ランサムウェアWannacry

前述のように、企業のIT部門がしっかりと管理しているシステムでは、ランサムウェアへの対応ができており、ITやセキュリティに関する情報が入手しやすいため、比較的守りやすいと川口氏は話を進める。ランサムウェアの被害に遭う企業のほとんどは、管理が行き届きにくい海外拠点のほか、製造や制御、工場などの現場であるという。「製造部門や制御部門などは、システムの管理を事業部門が管轄していることが多く、ITやセキュリティの情報が届きにくい環境にあります」。ITに対してOT(Operational Technology)と呼ばれる産業分野は、生産や制御の現場を知らないIT部門がシステムを管理することが難しく、IT部門の考え方でセキュリティ対策を行っても、ぜい弱なものになるか、ガチガチのセキュリティで業務に支障が出るようなものになってしまうのだという。

また、産業や製造で使われているシステムは、ネットワークから切り離すことでセキュリティ対策とする場合も多い。インターネットにつながっていないから大丈夫という考え方は、情報漏えい対策ではそれなりに有効だが、ランサムウェアのように事業の停止を目的とした攻撃には対策とならないことにも注目してほしい、と川口氏は説明する。

「IT部門とOT部門に壁がある中で、産業系にもPCやシステムがあり、それらがWannaCryなどに引っかかってしまうと事業が継続できなくなり、企業活動ができなくなってしまいます。ITとOTの上にいる経営者は、この問題を真剣に捉えて、自社でどのようにコントロールしていくかを考えていかなければなりません。情報処理推進機構(IPA)でもこの問題に取り組み、産業サイバーセキュリティセンター(ICSCoE)を立ち上げて、人材育成や情報共有の取り組みを行っています」。

社内に入りこんだウイルスがネットワーク全体に蔓延し、業務が停止してしまう

ローコストで簡単に行えるセキュリティ対策のコツ

続いて川口氏は、企業ができていないセキュリティ対策の例として「たな卸し」と「全滅しない対策」の2つを挙げる。

川口氏がセキュリティ被害に遭った企業に話を聞くと、社内資本に登録されていないPCや数年前にキャンペーンで作って放置されていたWebサイトなどが被害に遭っており、簡単に乗っ取られてしまうセキュリティレベルの弱いアカウントが残されていたケースもあるという。これらの被害は、定期的にITや資産のたな卸しを行えば防げるもので、かつ、不必要なサービスや機器の削減なども行えてコスト削減することができ、守る範囲も狭くすることができるという。

また、企業のシステムは社内LANで端末とサーバが通信できるようにしているが、お互いの端末同士が通信できるようにする必要は一般的にはない、と川口氏は話す。端末同士が通信できてしまえば、1台がマルウェアに感染した場合に他の端末にまで被害が及び、全滅してしまうのだ。もちろん、1台が感染してしまえば、サーバに被害が及ぶ可能性はある。しかし、IT管理者が常に監視しているサーバへの被害は守ることができるが、端末同士が直接通信で広がってしまう被害を食い止めるのは難しい。

「たとえば、船舶では、防水隔壁などで水密区画と呼ばれる区画が作られ、浸水や火災が発生したときに全体に広がらないように食い止められるようにしています。同じように、被害が広がらないように、L2スイッチで食い止めたり、端末同士が直接通信できないようにWindowsファイヤウォールを設定したりしておく必要があります。もちろん、さまざまなセキュリティ対策を行うことは重要ですが、これらの方法でコストをかけずに、全滅して企業活動が停止してしまうという最悪の事態を避けることを考えてほしいですね」。

端末同士の通信を禁止することで、被害を最小限に抑え、最悪の事態を回避する

また、Windows*が標準で装備している「ソフトウェアの制限のポリシー」も、ローコストで簡単にセキュリティレベルを高められる有効な手段だと、川口氏は推奨する。「企業で使うソフトウェアは、メール、ブラウザ、業務ソフトなどに限られるので、これら以外は動かないようにしたほうがよいでしょう。必要なソフトウェア以外動かなければ、標的型攻撃やランサムウェアのリスクを軽減できます。官公庁や自治体では、すでにソフトウェアを制限するようになっていますね。ただし、エンジニアが多い企業では業務上の都合もありソフトウェアの制限は難しいため、ユーザーのリテラシーに期待して対策することになります」。

IoT時代のセキュリティをどうしていくか

「2016年に閣議決定した日本再興戦略にも、トップに書かれているように、IoT、ビッグデータ、AIが今後のキーとなり、それらを踏まえたセキュリティ対策も考えていく必要があります」と川口氏は話を続ける。これらは、情報の量と質が重要となり、情報の量が増えれば、その分リスクも大きくなっていく。また、前述のようにクローズドであった産業系のシステムもネットワークにつなげる必要が出てくるため、これらのリスクも考えていかなければならない。

また、IoTデバイスやセンサーは、人の目の前にあるPCやエンジニアが管理しているサーバーとは異なり、人の目や監視が行き届かない可能性がある。さらに、これまでのITとは異なる考え方にしなければならないと川口氏は説明する。「温度管理を行うセンサーや自動車などを制御するセンサーなど、被害者を生んだり、人の命に関わるセンサーもあるため、セーフティーという概念を持つ必要があります。

IoTの管理や設計をIT側でやるのか、組み込みなどを経験してきた製造側でやるのかという問題がありますが、インターネットセキュリティとセーフティーの2つをしっかり考えていく必要がありますね」。

IoTでしっかりとした対策を行わなければ、損害賠償やリコールなどの大きな事業リスクとなってしまう可能性もあるという。たとえば、リモートで監視してメンテナンスできる仕組みなどを導入しようと考えても、製造側が作るとぜい弱なセキュリティとなる可能性もある一方で、IoTで使われるセンサーなどは低スペックな物が多く、そもそもセキュリティ機能を実装できない可能性もある。

「新たにサービスを提供する場合などでは、できるだけ低コストにする必要があるため、IoTデバイスのセキュリティまで手が回らないことも考えられます。ビジネスや社会の要求、リスクなどのバランスを考えて、IoTなどの問題は考えていく必要があると思います。この分野は、技術的な知見や事例も含めて、今後も検討していく必要があり、一律にボトムラインを決めることはできない分野ですね。サイバー・グリッド・ジャパンでも、IoT関連のセキュリティの研究を続け、それぞれの運用の中でどのようなことが必要になっていくかを考えているところです」。

また、今日のデータ侵害の50%以上は、ユーザー資格情報の不正利用と盗難が原因で発生しているため、PCなどのハードウェアで認証情報の保護を行うことも求められる。そのハードウェアでのセキュリティ体制強化のひとつとして、インテル® Authenticateが挙げられるが、このソリューションの最大の強みは多要素認証の組み合わせをIT管理者が自由に選択できることである。認証方法はPIN番号、スマートフォンなどのデバイス、位置情報、指紋などの生体情報の4つがあり、これらを組み合わせることでIDやパスワードよりも便利かつ強固なセキュリティを実現することが可能になるのだ。

ソフトウェアだけでなく、ハードウェアのセキュリティ強化のためのソリューションを導入することで、より安全性の高いセキュリティ体制を築くことができるのではないだろうか。

Menu

Credit

Intel、Intel、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook、Intel®Authenticate、インテル® アクティブ・マネジメント・テクノロジー (インテル® AMT)は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。 Intel、Intel、Intel ロゴ、Xeon、Xeon Inside は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。