ITpro Special
週間WEEKLY ITpro Special ITpro

情報セキュリティ戦略セミナー【レビュー】

不正アクセスや個人情報流出が後を絶たない。ひとたび攻撃を受ければ、事業や取引の継続に支障を来すこともあり、セキュリティ対策は重要な経営課題になっている。サイバー攻撃にどう備えるか。対策の第一人者やIT企業の担当者がそれぞれの立場で語った。

【基調講演】ラックセキュリティ対策は情報流失防止策と矮小化せず
事業継続や取引継続の経営課題としての認識を

株式会社ラック
サイバー・グリッド・ジャパン
サイバーグリッド研究所 所長
兼 チーフエバンジェリスト
川口 洋 氏

 今も多くのセキュリティ事件が発生しているが、事件が起きる現場は、経営者が関与せず担当者任せであることが多いという。「サイバーセキュリティ対策を情報漏えいの防止策ではなく、経営問題としてとらえるべきです。ITサービスの停止によって事業継続や取引継続が不可能になります。経営者が関与しなければ成果は上がりません」。ラックの川口洋氏はこう話す。

 経済産業省は昨年、サイバーセキュリティ経営ガイドラインを策定した。その中には、経営者が認識する必要がある「3原則」や、CISOなどの担当幹部に指示すべき「重要10項目」が記述されており、経営者は参考にすべきだという。

 川口氏は、基本対策として「自助」と「共助」を挙げる。「自助では経営者のコミットとCIO、CISOの配置、基本的な対策と演習の実施、人財と情報が大切です」(川口氏)。共助は長期的視点での対応であり、地元の産業を守る、地元で情報を共有する、地元のITベンダーを育てるといった意識が必要だという。

【特別講演】JPCERTコーディネーションセンター ログ保存はサイバーセキュリティ対策の基本
原因追究、全容把握に重要。保存期間は最低1年を

一般社団法人
JPCERT
コーディネーションセンター
分析センター マネージャー
竹田 春樹 氏

 「インシデントの発生を完全に回避する予防策はありません。サイバーセキュリティ対策には事故前提の対応体制が不可欠です」。JPCERTコーディネーションセンター(JPCERT/CC)の竹田春樹氏はこう話す。

 事前準備を行うことで、実際のインシデント対応までの対応時間を抑えることができる。事前準備として竹田氏は情報集約と情報連携の推進、脅威との共存を意識した環境の整備、情報資産の把握・保護を挙げる。

 ログの保存も重要だ。緊急時にログの保存があると、調査範囲の絞り込みなどに役に立つ。ログがないと、原因追究、全容把握が困難なケースもある。JPCERT/CCのこれまでの対応支援の経験則上、高度サイバー攻撃を考慮するログの保存期間は、最低1年が望ましいと話す。

 「JPCERT/CCでは『高度サイバー攻撃(APT)への備えと対応ガイド』なども配布しています。サイバーセキュリティ対策にぜひ役立ててください」。竹田氏はこう言って講演を終えた。

【特別講演】情報処理推進機構(IPA)内部に侵入されていることを前提とした対策が必須
攻撃者が狙う弱点を理解しシステム設計に反映を

独立行政法人
情報処理推進機構(IPA)
技術本部セキュリティセンター
普及グループ 研究員
上野 宣 氏

 「セキュリティ対策は、内部に侵入されていることを前提に講じなければなりません。最近のサイバー攻撃は従来のものとは異なり、気付かないうちに組織全体に広がっていきます」。こうアドバイスするのは情報処理推進機構(IPA)の上野宣氏だ。

 一例を挙げれば、メールチェック用の端末とサーバー運用管理端末を分けておけば、マルウエアに感染してもシステムを乗っ取られるリスクは小さい。同一端末で双方の作業をすると、標的型メールによってマルウエアに感染し、管理者権限を奪われる。攻撃の全貌と攻撃者に狙われる弱点を理解し、システム設計に反映することが大切だ。その指針となるのがIPAの「『高度標的型攻撃』対策に向けたシステム設計ガイド(第4版)」だ。

 「システム設計ガイドの公開だけでなく、IPAは標的型サイバー攻撃特別相談窓口を開設し、相談を受け付けています。サイバー攻撃への対応にぜひIPAをご活用ください」と、上野氏は講演を締めくくった。

【特別講演】情報通信研究機構(NICT)セキュリティ技術もメード・イン・ジャパンに
様々な技術を集結させるプラットフォームを実用化

国立研究開発法人
情報通信研究機構(NICT)
サイバーセキュリティ研究室
室長
井上 大介 氏

 「メード・イン・ジャパンのサイバーセキュリティ技術を世界に広げることを目標に技術開発を進めています」。こう話すのは情報通信研究機構(NICT)の井上大介氏だ。

 NICTでは既に四つのセキュリティ技術を実用化している。世界中のサイバー攻撃の観測・分析を手掛けるインシデント分析センター「NICTER(ニクター)」と、そのアラートシステム「DAEDALUS(ダイダロス)」、使用中のアドレス、ライブネットを観測し、ローカルネットワークの通信を可視化するシステム「NIRVANA(ニルバーナ)」、NIRVANAにサイバー攻撃分析エンジンを搭載した「NIRVANA改」だ。DAEDALUSは、攻撃元となっている連携組織に警告し、日本の地方自治体、民間企業、ASEAN(東南アジア諸国連合)にも情報を提供する。また、民間企業と協力し、NIRVANA改の商用版製品の販売を始めた。「NIRVANA改は様々な技術を集結させるプラットフォームと位置付けています」(井上氏)。

【特別講演】立命館大学 業務効率化とセキュリティは相反しない
業務の「セキュリティ・バイ・デザイン」を

立命館大学
情報理工学部 教授
上原 哲太郎 氏

 「日本が世界各国からたくさんの標的型攻撃を受けていることを脅威を見せるサイトで理解してもらい、簡単に遠隔操作ができることを示せば、従業員はセキュリティ対策の必要性を理解してくれます」。こう話すのは立命館大学の上原哲太郎氏だ。

 上原氏は業務の「セキュリティ・バイ・デザイン」の重要性も説く。「システム全体を最初から対策するだけでなく、仕事のやり方も根本から変える必要があります」(上原氏)。その一例として、役所でよく見かける「意見募集」を紹介した。Excelのひな形をダウンロードして必要事項を記入してメール送信する方法ではExcelファイルを装ったマルウエアが侵入するリスクが高い。意見募集をWebフォームに変え、集計を自動化し、集計結果もWeb表示に切り替えれば、セキュリティを確保でき、業務の効率化も図れる。

 「業務効率化とセキュリティは相反しません。業務を効率化し、それに対応したシステムを提供しないと従業員の協力は得られません」。上原氏はこう提言し、講演を終えた。