日経 xTECH Special 日経 xTECH 日経 xTECH Special

春のIT展示会 レビュー

デジタルハーツ Security 2018レビュー

Security2018

デジタルハーツ
ホワイトハッカーが伝授する
サイバー攻撃と対策の心構え

標的型攻撃メールやフィッシングを起点とした攻撃、未知の攻撃などから、どう企業を守ればいいのか。セキュリティコンサルティングで豊富な実績を持つ岡田卓也氏と、ホワイトハッカーとして企業の脆弱性診断などを行うアンッティ・トゥオミ氏がサイバー攻撃の手口と対策を語った。

岡田 卓也 氏
株式会社デジタルハーツ
BS事業本部
セキュリティ事業推進室 室長
岡田 卓也 氏

 仮想通貨の取引所から、巨額の仮想通貨が流出した事件は記憶に新しい。デジタルハーツの岡田卓也氏は「攻撃者はシステムの脆弱性を突いて被害企業の社内に侵入。管理者権限を奪い、外部に送金したのではないか」と推測する。

 エフセキュアのアンッティ・トゥオミ氏は実際に発生したサイバー攻撃の手口を用いてハッキングの様子をデモで紹介した。「公開サーバーの設定ミスや脆弱性を突いたり、フィッシングサイトへ誘導したりするなど、様々な手口で管理者のIDやパスワードは簡単に盗むことができ、それらを悪用してシステムを不正に操作する手口は少なくありません」とトゥオミ氏は解説する。

 Webシステムや社内への不正侵入を防ぐ対策としてWAFやIPS/IDSを導入する企業は多い。「これらは既知の攻撃には有効ですが、ゼロデイ攻撃など未知の攻撃や、IDやパスワードを盗まれ通常ルートでの侵入を防ぐことは難しい。重要になるのは、侵入された場合を想定して攻撃対象領域を最小化することと、侵入されたことを可視化する仕組みです」と、岡田氏は指摘する。

脆弱性検査で脅威を可視化

エフセキュア株式会社
サイバーセキュリティリサーチ
プリンシパルセキュリティコンサルタント
アンッティ・トゥオミ 氏

 岡田氏は続けて、不正侵入などサイバー攻撃に対する技術的な対策を説明した。既知の脆弱性に対しては、「定期的に脆弱性検査を行い、適切なパッチを迅速に適用する必要があります」と岡田氏は助言する。また、未知の脆弱性に対しては「階層的な権限設定や、異常の検知と警報のルールづくり、不審なアクセスを可視化するといった対策が重要です」とトゥオミ氏。エフセキュアでは企業システムを監視し、異常の検知と通知を行う「F-Secure Rapid Detection Service」や、企業内部のサーバーやネットワーク機器といったIT資産に内在する脆弱性やセキュリティパッチが適用されていないなど、セキュリティ上の脅威を識別、管理する「F-Secure Radar」などのソリューションをリーズナブルなコストで提供する。

 デジタルハーツはシステムのテスト検証や脆弱性診断などを提供する一方、エフセキュアのこうした製品を用い、企業に潜む脆弱性など現状を把握するサイバーセキュリティ診断サービスなどを提供。安全なビジネスIT環境の構築と運営を支援している。また、セミナー連動企画として20社限定で、簡易診断サービスを無償で提供している。

社内IT資産の脆弱性診断 F-Secure Radar
調査ターゲットに対してシステム構成の不備、脆弱性の有無、セキュリティパッチの適用状況などを診断
[画像のクリックで拡大表示]
お問い合わせ