ITpro Special
週間WEEKLY ITpro Special ITpro

情報セキュリティSummit 基調講演/特別講演

基調講演

効果やコスト、使い勝手、運用の容易性などを
考慮し対策案の適切な組み合わせを

東京電機大学 教授
サイバーセキュリティ研究所
所長
工学博士
佐々木 良一

 「現在のサイバー攻撃はハッカーに加え、犯罪者、諜報関係者、軍人までが行っています。面白半分にやるだけでなく、利益目的のほか、国家の指示で攻撃してくることもあります。それだけに攻撃の手口も巧妙になっています」。東京電機大学の佐々木良一氏はこう話す。

 攻撃者は初期侵入(マルウエアの侵入)、侵入の拡大(脆弱性を突いた攻撃)、目的の遂行(重要情報の盗み出し)という三つのプロセスを経て標的型攻撃を仕掛けてくる。プロセスごとに個別の対策を講じる必要がある。さらに、アクセス記録の保管とモニタリングによって被害状況を早期に把握し、拡大を防止する体制を敷き、CISO(最高情報セキュリティ責任者)や社内CSIRT(シーサート=Computer Security Incident Response Team)を設置してセキュリティマネジメントシステムを運用することが大切だ。

 「対策の効果やコスト、使い勝手、運用の容易性などを考慮しつつ、関係者の合意をとりながら対策案の適切な組み合わせを求める手法が必要になります。私が提唱する多重リスクコミュニケータ(MRC)もその一つです」(佐々木氏)

 サイバー攻撃の対象は、今後、情報システムだけにとどまらない可能性が大きい。IoT(モノのインターネット)によって様々なモノがインターネットに接続されると、産業用制御システムや自動車、情報家電、防犯カメラ、医療機器などがいとも簡単にサイバー攻撃の対象になってしまう。既にその兆候はある。

 「これからは経営陣や管理職がITに対するリスク感覚を磨くことが重要になってきます」。佐々木氏はこう提言し、講演を終えた。

特別講演 | マイナンバー&情報漏えい対策
マイナンバーの利用範囲、保管などに制限
制度とシステムの両面で保護措置を講じる

内閣官房
政府CIO補佐官
番号制度推進管理補佐官
楠 正憲

 マイナンバー制度が動き出した。住民票がある全ての世帯に通知カードが届く。「制度とシステムの両面で保護措置を講じ、情報が流出しないように努めています」と内閣官房の楠正憲氏は話す。

 分散管理はその一例だ。国税関連は税務署、地方税関連は市区町村というように情報提供ネットワークシステムを使用し、情報を照会・提供する分散管理を採用。一元管理しないことで、流出のリスクを軽減している。さらに、個人番号を直接用いず、符号を用いた情報連携を図り、通信の暗号化だけでなく、アクセス制御によってアクセスできる人の制限・管理を実施する。

 また、流失を防ぐため、マイナンバーの利用範囲は法律によって規定されている。利用できるのは、社会保障、税、災害対策に関する事務に限られ、社会保障と税に関する手続書類を作成するときにのみ企業は取得できる。

 その際、他人のなりすましなどを防止するため、厳格な本人確認を行わなければならない。

 マイナンバーを保管することも制限されている。翌年度以降も継続的に雇用契約が認められる場合や、所管法令によって一定期間保存が義務付けられている場合などに限って保管できる。必要がなくなれば廃棄しなければならない。源泉徴収票や給与支払報告書の作成に伴って保管の必要性が生じたときは担当者を明確にして、保管用のカギ付き棚を用意して担当者以外の従業員がのぞき見できないような工夫をするなど安全措置を講じなければならない。

 「マイナンバー制度は行政の効率化や国民生活の利便性向上につなげるための国家的な取り組みです。ホームページではQ&Aなどを用意して実務上の疑問の解消に努めています」。楠氏はこう言って講演を終えた。

特別講演 | 攻撃対策最新技術
同一の攻撃者が手を替え品を替え
複数の組織に執拗な攻撃を仕掛ける

独立行政法人
情報処理推進機構(IPA)
技術本部
セキュリティセンター
主幹
松坂 志

 サイバー攻撃による被害の拡大を防ぐため、IPAは2011年10月に社会インフラで使われている機器のメーカーを中心に情報共有と早期対応を図るため、サイバー情報共有イニシアティブ(J-CSIP)を発足させた。「過去3年間にわたる情報を基にサイバー攻撃の痕跡について横断的な分析をしたところ、同一の攻撃者が手を替え品を替え長期間にわたって複数の国内組織に対し執拗な攻撃をしている実態が浮かび上がりました」。IPAの松坂志氏はこう警告する。

 調査の結果、浮かび上がった攻撃者を仮にXと呼ぶ。Xの攻撃で使われた4種のウイルスは、不正接続先のホスト名やIPアドレスが同じだったり、特徴が似ているなど、関連性が見つかった。さらに、同一者からの標的型攻撃メールについては、31カ月にわたり、9つの組織へ、多いときは月に20通以上の着信が確認できた。攻撃メールは、朝の9時から夕方17時の間に96%が集中しており、夜間と早朝、土日では攻撃がゼロだった。国内企業の勤務時間を狙っている可能性が高く、攻撃者の行動は計画的で統率が取れているようにみえる。

 「Xの騙しの手口は多彩で、ほかの攻撃者には見られないような工夫が凝らされていることがあります。また、ウイルスをつくり変え、新旧並行して試行期間を設けるなど計画的に運用しているようです。このほか、ショートカット(LNK)ファイル、マクロ、やり取り型といった新たな攻撃手口も取り入れています。敵を知り己を知れば百戦危うからず、という言葉がありますが、攻撃を知ることで敵(攻撃者)を知ることができます。己(自分の組織)を知ることで対策を考えられます。戦いの渦中にいるという認識を持ち、長期的に戦い続けるための体制を敷くべきです」。松坂氏はこのようにアドバイスした。

特別講演 | 組織&マネジメント強化
セキュリティは重要な経営課題の一つ
組織内CSIRTは経営者との距離感が重要

大成建設株式会社
社長室情報企画部
部長(担当)
Taisei-SIRTリーダー
北村 達也

 「建設業界では、設計図や工程表の情報をもとに様々な専門工事会社が動いており、ある意味では建設会社は情報産業だといえます。それだけに情報セキュリティは重要な経営課題の一つです」。大成建設の北村達也氏はこう話す。大成建設はいち早く組織内CSIRTを立ち上げ、その運営を軌道に乗せている。名称はTaisei-SIRTだ。

 最大の特徴は、消防団のような仮想的な組織にしている点だ。IT企業ではCSIRTを一部署として設置しているが、大成建設は情報企画部と情報システム関連会社の大成情報システム(TAIS)の社員の中から役職と適性によって組織横断的にリーダークラスのメンバー6~8名を選び、Taisei-SIRTを構成している。

 非常に高度な技術や24時間対応が必要な監視機能は自社で持たずに社外から調達するが、サービスの責任は自社が負うという方針を打ち出しており、SOC(Security Operation Center)とNOC(Network Operation Center)、データセンターは外部サービスの標準メニューを利用。その一方で、大成建設の利用環境に即し、利用者に顔が見えるサポートを行う運用は業務委託型のサービスを採用。運用におけるインディケータやインシデントのエスカレーション、JPCERT/CCや他社CSIRTとの情報連携などを通じて「大きなインシデントの種」になりそうな異変の発見に努めている。

 「情報セキュリティは重要な経営課題の一つ。組織内CSIRTでは、経営者との距離感、システム運用チームとの距離感をどのように保つのかが重要。ですが、経営者と向き合って情報セキュリティについて真剣に議論できるのはインシデント発生時だけです。その時に即答するための準備が欠かせません」。北村氏はこう話しながら、議論の際に役立つ資料として、金融庁や経団連、情報セキュリティ政策会議の資料などを挙げた。

特別講演 | モバイル&クラウド&IoTセキュリティ
インシデント対応は経営層の関与が必須
IoTにもセキュリティの備えを

一般社団法人JPCERT
コーディネーションセンター(JPCERT/CC)
早期警戒グループ
マネージャー
満永 拓邦

 標的型攻撃は海外ではAPTと呼ばれる。Advanced(先進的)、Persisten(t 執拗)、Threa(t 脅威)の頭文字だ。情報セキュリティの情報を収集、インシデント対応の支援、サイバー攻撃などの国際連携の対応などを手掛けるJPCERTコーディネーションセンター(JPCERT/CC)の満永拓邦氏は、次のように警告する。「今では産業スパイや国家の諜報機関も日本を狙って攻撃を仕掛けていると考えてよいでしょう」。

 以前のような侵入を防ぐという発想だけでは対応できない。マネジメントの積極的な関与が必須になっており、原因究明や全容把握、フィードバックが図れるようにインシデント対応プロセスの構築が欠かせない。「攻撃者の活動は国際的な規模であり、インシデントの被害を低減するには個々の対応だけではなく、外部のCSIRTなどとの情報連携も重要です。JPCERT/CCとのインシデントに関する連絡に対応いただける窓口の整備をぜひお願いします」(満永氏)。

 満永氏は、IoTのセキュリティについても言及した。IoTの普及によって生活の利便性が高まるといわれているが、同時にインターネットに接続する機器が攻撃対象になる確率は高まる。

 既に米国のクライスラーはインターネットから車載情報機器を経由してステアリングやアクセル、ブレーキが遠隔操作される可能性があることを理由に140万台をリコールしている。また、セキュリティカンファレンス「HITBSecConf2013」ではAIS(自動船舶識別装置)に関する脆弱性が指摘されている。AISに偽のデータを送信することで、実在しない船舶が実在するように見せかけることが可能で、悪用されると海上交通の混乱や、海上事故の発生などの可能性がある。

 「本格的なIoT時代が来る前に利用者も開発者もセキュリティ意識を持つ必要があります」。満永氏はこう提言する。

特別講演 | マイナンバー&情報漏えい対策
マイナンバー制度の開始が
セキュリティ対策を見直すきっかけに

藤沢市総務部IT推進課
総務部参事 兼 IT推進課長
大高 利夫

 藤沢市はITを積極的に活用しており、情報セキュリティ対策にも力を入れている。2008年2月には政府の「平成19年度情報セキュリティの日功労者表彰」を地方自治体として唯一受賞し、電子化・情報化を進める自治体のモデルとなっている。「いよいよマイナンバー制度が今年10月から始まりますが、情報セキュリティ対策を見直すきっかけになったと思います」と、藤沢市役所の大高利夫氏は話す。大高氏も総務省の自治体情報セキュリティ対策検討チームの構成員などを務める。

 地方自治体の情報セキュリティを取り巻く環境が大きく変わっている。2015年3月には総務省の情報セキュリティに関するガイドラインの改定が発表された。改定されたガイドラインはISO/IEC27001:2013に準拠したもので、サイバーセキュリティ対策だけでなく、クラウドサービス、タブレットやスマホなどの新しい機器、テレワーク、BYOD、SNSなどに対応するほか、CSIRTの設置などを求めている。「単に禁止するのではなく、どのようにセキュリティレベルを確保するのかという視点で考える必要があると思います」(大高氏)。

 藤沢市は昨年、IT推進リーダーを務める職員160人を対象に抜き打ちで「情報セキュリティ研修会について(お礼)」と題したメールを送った。これは職員の対応を調べるためのなりすましメールだった。この訓練を通して標的型攻撃の巧妙さを認識し、職員の意識を高められたが、同時にメールが届いたとき、メールを開いたときの対応について改めて啓発する必要があることが分かった。

 「訓練を実施して終了ではありません。人的対応だけでは防げないことが明らかになれば新しい対策を講じますし、セキュリティ対策の予算化につなげられます。こうした地道な活動を繰り返していくしかありません」と大高氏は話す。

特別講演 | モバイル&クラウド&IoTセキュリティ
IoTに浮かび上がる危険性
攻撃者の新たな標的になるとの認識を

株式会社ラック
サイバー・グリッド研究所
リサーチャー
渥美 清隆

 「今後は、IoTが攻撃を受けると誤った行動をしてしまうという事態も発生しかねません。これはIoTならではの新しい課題です」。ラックの渥美清隆氏はIoTのセキュリティについてこう警告する。

 IoTはモノのインターネットとも呼ばれる。以前からあるM2Mが主に工場内ネットワークなのに対し、IoTはインターネットを経由して広範囲なモノと接続する。大量のセンサーから得られるビッグデータから次のステップを決定するセンサーネットワークと、外から自宅内の家電製品を起動したり自宅内の様子を観察したりできるホームオートメーションがその代表例だ。

 IoTのネットワークでは、攻撃者はセンサーとゲートウエイ、クラウドに攻撃を仕掛けることができる。

 「センサーは数が多い上、壊れやすく、攻撃対象としては容易ではありませんが、ゲートウエイを攻略すればある程度の数のセンサーをまとめて支配できます。もちろん、これまでのサイバー攻撃と同じようにクラウドを攻撃して支配下におくこともあるでしょう。IoTで収集したビッグデータを分析する人や、データを基にメンテナンスを担当する人に誤ったデータを送ることも考えられます」と渥美氏は話す。

 渥美氏はいくつかの想定できる攻撃を紹介した。自動車の運転の乗っ取りもその一例。また、IoTによって農地の状態をセンサーで監視し、生産力や品質の向上を図るプロジェクトが動き出しているが、攻撃者がデータを改ざんしたりすればある地域の農作物の収穫を減らしたり、ゼロにしたりすることも不可能ではない。

 「IoT関連のセキュリティ事故が起こり得ることを開発者はもちろん、利用者も認識しておく必要があると思います」。渥美氏はこう提言する。

特別講演 | 攻撃対策最新技術
コンテストなどの実践の場を活用して
セキュリティ人材不足に対応を

サイバー大学
教授
園田 道夫

 情報処理推進機構(IPA)の調査によると、企業では約8万人のセキュリティ人材が不足している。「新卒者だけで不足を補うことは実質的にできません」とサイバー大学の園田道夫氏は指摘する。ほかにも人材が不足する要因として、セキュリティ対策に必要なスキルが変遷していることが挙げられる。「サーバーの要塞化だけが重要な知見だったのはもう昔。現在は例えばOSのセキュリティ機能実装、仮想化利用の外部監視などの知識も必要になってきています。ネットワーク監視も侵入検知だけでなく、動的ルール生成や機械学習などの自動化に関する知識を持った人材が必要になるでしょう」(園田氏)。

 解決策の一環として、園田氏らが参画し2004年から始めたのが人材発掘・育成を目的にした学生向けの合宿研修「セキュリティ・キャンプ」だ。コードから読み解きマルウエアを分析したり、光ファイバーの盗聴や侵入手法を研究し、実践的なスキルを身につける。2012年からはセキュリティコンテストのSECCONも始め、脆弱なサーバーを破られないように運営すると同時に、他チームの脆弱なサーバーを攻めるグループ対抗で旗取り合戦(CTF=Capture The Flag)を通して防御・解析と攻撃技術の両方を学ぶ実践的な場として定着している。

 旗取り合戦は世界各地で開催されており、日本でもSECCONに限らず、大学などが中心になって各地で開かれている。「想定するインシデントが実際にはなかなか起こらなかったり、疑似インシデントを起こすにはお金がかかるため、実践できないのが現状で、CTFやコンテストは数少ない実践の場です。できればCTFやコンテストのスポンサーになっていただきたいのですが、せめて参加する人に理解を示してほしい。そうすることで日本のセキュリティ対策も向上します」。園田氏はこう提言して講演を終えた。

特別講演 | 組織&マネジメント強化
CSIRTは「緊急対応チーム」という認識は誤解
早期検知と経営判断に必要な情報の提供が任務

S&J株式会社
代表取締役社長
三輪 信雄

 「残念ながら感染を完全に防ぐことはできません。感染をいち早く検知し、少しでも早く正しい対処をすることが重要です」。こう話すS&Jの三輪信雄氏はいち早く情報セキュリティの重要性に気付き、1995年にセキュリティ事業を立ち上げた草分け的存在だ。

 感染を防げないため、インシデントが発生したあとの被害を最小限にするインシデント対応(IR=Incident Response)の重要性が高まっている。IRには、発生から再発防止策までのライフサイクルがあり、初動の対応次第で結果が大きく異なる。予兆を見逃すと、インシデントが進行して被害が拡大してしまう。

 このインシデント対応を担う組織としてCSIRTとSOCに対する関心が急速に高まっている。しかし、三輪氏は誤解も少なくないと指摘する。「CSIRTは緊急対応チームと考えられていますが、インシデントの早期検知と経営判断に必要な情報の提供を図るチームで、ログを分析するSOCがないと機能しません。そのSOCは監視センターと訳されますが、単にモニタリングするだけではなく、セキュリティをオペレーションできる体制を敷いておかなければなりません」(三輪氏)。

 また、CISO(Chief Information Security Officer)についての誤解もある。米国に倣ってCISOを据える日本企業が増えている。中には外部からセキュリティ専門家をCISOに迎える日本企業もあるが、セキュリティ専門家がCISOに向いているわけではない。三輪氏は次のようにアドバイスする。「米国でもなかなか人材が見つかりません。日本ではCISOは企業内部から登用すべきです。情報システム部で基幹システムの開発経験が長く、業務や企業文化をよく理解し、経営陣や各部門の責任者と良好な関係を築いている人材が適任だと思います」。