ソーシャルエンジニアリングは予算獲得にも応用できる？：「＠ITセキュリティセミナー 〜迷宮からの脱出〜」レポート（3）（2/2 ページ）

専門家陣が時事ネタを読み解く

　続くセッション「セキュリティ時事ネタをやわらか〜く語りまSHOW!」では、＠ITでも多数の執筆、登壇経験を持つソフトバンク・テクノロジー 辻伸弘氏、インターネットイニシアティブ 根岸征史氏、ラック 川口洋氏、＠IT編集部 宮田健が登壇し、パネルディスカッションを行った。

　今回のディスカッションの趣旨は、「参加メンバーが気になること、事故対応から見える苦渋の選択、今のセキュリティ意識に対して皆さんに言いたいことを"柔らかく"取り上げる」というものだ。サイバーセキュリティに携わる専門家たちは、最近のサイバーセキュリティの動向を一体どう見ているのだろうか？

インターネットイニシアティブ 根岸征史氏

　まずテーマになったのは、「止まらない標的型攻撃」だ。根岸氏が「ちょうど1年前に日本年金機構の事件がありました。まずは振り返りとして、その報告書から学ぶべき点がたくさんあるという点を確認したいと思います」と切り出し、川口氏が「年金機構の件に関連する3つの報告書は、最高の教科書。あれを見ないと対策はできません。ご覧になったことのある人も、ぜひもう一度目を通してください」と訴えた。これを受けて辻氏も「報告書には報道にないことも詳しく記載されているので、そのあたりにも注目して、対策の参考にしてほしい」とアドバイスした。

ソフトバンク・テクノロジー 辻伸弘氏

　その上で、最近の標的型攻撃の傾向について議論になったのは、攻撃が発覚してから対応までにタイムラグがある点だ。辻氏は、2016年6月にJTBが攻撃された事件について、マルウェアへの感染後、不正な通信を検知したのが連休の初日だったため、「連休中であれば、ある程度派手な動きをしたとしても組織側の対応が遅れ、目的を無事遂行できる可能性が高い、と攻撃者は考えたのかもしれない」と推測。

　これに対し根岸氏は、「通信を検知できるようにしている企業自体が、実はそれほど多くない」とし、不正な通信を検知して対応することの難しさを指摘するとともに、「不審な通信を検知できる仕組みがあるか。検知したとして、どのように対応するのか。あらためて整理してみてほしい」と呼び掛けた。

ラック 川口洋氏

　また、川口氏は、「感染が発覚した後の対応について、あらかじめ意思決定が必要だ」と述べ、感染時にもめることが多いのが「インターネットの回線を物理的に抜くかどうか」だと紹介した。「回線を全部引き抜いてWebやメールの一切の利用を停止するという判断もありますが、外部との連絡手段の確保を考慮して、メールだけ残すという選択もあり得ます。誰の権限で何を止めるのか。そして、どのタイミングで戻すのか。こういった点については、あらかじめ取り決めをしておくべきです」（川口氏）。

　続いてのテーマは「ランサムウェアの動向」だ。2015年には「TeslaCrypt」の感染が広がっていたが、2016年5月に開発者がマスターキーを公開し、暗号化されたファイルの復号が可能になった。「これは予想外で、驚くべき出来事だった」と根岸氏。また辻氏は、ランサムウェア感染者にインタビューを行った経験を踏まえて、感染から金銭を支払うまでの流れを説明した。ランサムウェアについては、「マスターキーの公開により、短期的に被害は落ち着きを見せているが、引き続きバックアップなどの対策は行っていくべきだ」といった意見が交わされた。

　最後の「脆弱（ぜいじゃく）性情報への対応」というテーマでは、辻氏が「CVSS（共通脆弱性評価システム）においては、基本値だけでなく、現状値にも注目してほしい」と述べ、「現状値は、攻撃コードの出現有無や対策情報が利用可能かを示した指標。たとえ“緊急”とされている脆弱性でも、攻撃の手法が確認されていないのであれば、すぐに対応しなくてもいいと考えることもできる」と説明した。

新機能でマルウェア検知率を99％に

エムオーテックス 営業本部 営業推進部 部長 金子大輔氏

　エムオーテックスのセッションでは、営業本部 営業推進部 部長の金子大輔氏が登壇。「『未知の脅威に対抗するエンドポイントセキュリティ対策』〜人工知能が実現した未知の脅威防御率99%〜」と題し、同社のセキュリティ製品「LanScope Cat」の新機能「プロテクトキャット」について紹介した。

　LanScope Catは1996年にリリースされたIT資産管理・情報漏えい対策ツール。「どのPCで、誰が、いつ、どのデータに何をしたか」といったデータに対する人間の操作を管理することで、情報漏えいのリスクを見える化する。新機能として加わったプロテクトキャットは、このLanScope Catにおける未知の脅威対策を強化するものだという。またエムオーテックスではCylance社と連携し、初期導入から運用までをサポートしていくことを強調した。

　「プロテクトキャットは人工知能を活用して未知の脅威から守る機能です。パートナーであるCylanceの技術を活用し、未知のマルウェアに対する検知率99%を実現します」（金子氏）

“CAPDサイクル"で実現するWebサイトセキュリティ

　続いてはシマンテック ウェブサイトセキュリティ ダイレクト・チャネルマーケティング部 シニアチャネルマーケティングスペシャリストの大塚雅弘氏が登壇し、「ウェブサイトの脆弱性対策 〜脆弱性への攻撃手法とその対策ステップ〜」と題した講演で、脆弱性を狙った攻撃の特徴と有効な対策を紹介した。

　大塚氏はまず、多くのWebサイトが脆弱性を抱えており、企業規模を問わず攻撃を受けるようになっている現状を解説。その上で、ステップバイステップで対策を講じていくことが重要だとした。

　「最初のステップとして重要なのは現状把握です。マルウェアや脆弱性の有無をツールでチェックし、安全性を確認します。次のステップでは、具体的な防御対策の検討を行います。影響範囲を確認した上で、パッチ適用やバージョンアップで問題が出ないかを確認します。その上で、CAPD（Check、Act、Plan、Do）の順にサイクルを回すことがポイントです」（大塚氏）

内部環境の状況を把握し、脅威に素早く対処する

トリップワイヤ マーケティング部 マネージャ 金子以澄氏

　トリップワイヤのセッションでは、同社のマーケティング部 マネージャ 金子以澄氏が、「サイバー攻撃対策〜企業は何をどうやって守るべきなのか〜」と題し、攻撃時に狙われる脆弱性への対処方法と、情報を守るための最後の砦ともいえる「改ざん検知」の重要性を解説した。

　変更検知／改ざん検知製品で知られるトリップワイヤだが、現在は、脆弱性管理、コンプライアンス管理、ITオペレーション管理製品も提供している。金子氏はまず、サイバー攻撃対策の課題として、「エンドポイントでの対策が十分に進んでいない」と指摘した。

　「サイバー攻撃で最初に狙われるのは脆弱性です。そのため、まずは社内環境に存在する脆弱性の状況を把握しておくことが必要です。また、内部犯行への対策も欠かせません。これらに必要なのは、いずれもエンドポイントの状況を認識することです。変更検知／改ざん検知製品や、脆弱性管理製品を組み合わせることで、内部環境で何が起きているかを把握し、いち早く対処することが重要です」（金子氏）

鍵管理、透過暗号、トークナイゼーションでデータベースを守る

ボーメトリック 東京オフィス シニアセキュリティアーキテクト 迎博氏

　セッション「増加する内部犯行による情報漏えい データベース管理者に対する備えは万全ですか ?」では、ボーメトリック 東京オフィス シニアセキュリティアーキテクト 迎博氏が登壇し、データベース管理者による不正行為からデータベースをどう守るかを解説した。

　ボーメトリックは、2001年に設立されたファイルサーバ、データベース、クラウドストレージ向けの暗号化製品を展開する米国企業だ。暗号鍵やポリシー、ログを集中管理し、データベースやストレージを対象に暗号化を行うDSM（Data Security Manager）と呼ばれるアプライアンス製品を提供している。同製品では、データに対する“透過暗号”の他、個人情報など、データベースの特定カラムに存在するデータを無意味な内容に変換（トークン化）して保護する“トークナイゼーション”などの機能を提供している。

　「トークナイゼーションのメリットは、既存データベースのカラム改修が不要で、カラム暗号と比較して組み込みが容易なことです。トークナイゼーションによって原本データを『見せない』、透過暗号によってデータを『盗ませない』、そして鍵管理によってシステム管理者に『権限を悪用させない』という3つの対策を組み合わせることで、データベースを不正から守ります」（迎氏）

人工知能によるマルウェア検知機能でSMBのビジネスを保護

デル クライアントソリューションズ統括本部 Dell Data Protectionセールスマネージャー 伊地田隆広氏

　続くデルのセッションでは、クライアントソリューションズ統括本部 Dell Data Protectionセールスマネージャー 伊地田隆広氏が登壇。「『人工知能』が変えるエンドポイントセキュリティー」と題して、人工知能を活用して未知のマルウェアを検知するソリューション「Dell Data Protection | Threat Defence」を紹介した。

　人工知能による未知のマルウェア検知を支えているのはCylanceの技術だ。この技術は、プログラムの特徴を抽出し、数学的アプローチで解析を行うことで、自動的に危険度を数値化する。

　「ウイルス定義ファイルに頼らずに不正なプログラムを検知できるため、未知の攻撃に強く、頻繁なアップデートが不要です。また、フルスキャンのような作業も行わないため、分析が高速で軽いというメリットもあります。運用面では、クラウドベースで管理を行うため、自前の管理サーバが不要で運用が楽だという強みもあります」（伊地田氏）

CSIRT構築・運用を形骸化させないポイントとは

インフォメーション・ディベロプメント iD-Cloudソリューション部エバンジェリスト/セキュリティディレクター 宮本朋範氏

　最後のセッション「CSIRTだけで大丈夫？ セキュリティ強化実践のツボ、教えます！」では、インフォメーション・ディベロプメント iD-Cloudソリューション部エバンジェリスト/セキュリティディレクターの宮本朋範氏が、CSIRT（Computer Security Incident Response Team）の構築と組織運営、実践的なセキュリティ強化対策のポイントを解説した。

　宮本氏によれば、セキュリティインシデントに迅速に対応することを目的に構築が進むCSIRTだが、数年たつ中で、組織運営が形骸化するケースが目立つようになったという。その背景には、組織に対する周囲の理解が得られない、対策の正解が見付けにくい、あるいは体制を作ったもののうまく機能しないといった課題があるそうだ。

　これに対して宮本氏は、「まずは問題となるリスクを見極めた上で、対策が取られているかを把握する必要があります。単なる枠組みではなく、必要な項目をチェックできるようにし、実効性があるかを見極めることが重要です」と述べ、「その上で周囲の理解を得るためには、サイバー攻撃の演習や最新ソリューションの試験導入も有効だ」とした。

　また、正解が見つけにくい、体制がうまく機能しないといった課題に対しては、「外部人材の活用も考慮すべきだ」と宮本氏は述べる。「自社でセキュリティ人材を育成するだけでなく、コンサルタントやセキュリティエキスパートを招いたり、アウトソーシングサービスを活用したりする視点を持つことも重要です」(宮本氏)。