新たな脅威に「気付く」「対処する」ポイントとは？：＠IT セキュリティソリューションLive! in Tokyo レポート（2/2 ページ）

セッション3〜多層防御とコストダウンを実現

　3つめのセッションは、「巧妙化する標的型攻撃に対抗する、クライアント・レピュテーションとは？」と題し、フォーティネットジャパン、コーポレートマーケティング部 部長の余頃孔一氏と、図研ネットウエイブ マーケティング部 ビジネス推進課 課長の武藤耕也氏が登壇した。

フォーティネットジャパン コーポレートマーケティング部 部長 余頃孔一氏

　最初に登壇した余頃氏は、標的型攻撃は入口対策からクライアント対策、潜伏期間対策、社員教育まで、対策項目が多いほどに脅威を低減でき、より総合的に対応できると明言し、それを考えるのがUTM（統合型脅威対策）だと述べた。フォーティネットのUTMアプライアンス「FortiGate」は、プロセッサやOSを自社開発することで、高速・多機能・安価を実現、ユーザーライセンスも無制限で利用できる。

　昨年12月に発表された新OS「FortiOS 5.0」では、150以上の新機能と機能拡張がなされた。中でも、疑わしい振る舞いに基づいて潜伏中のマルウェアを検知する「クライアント・レピューテション」と、ローカルのマルウェア検知機能「ローカル・サンドボックス」、クラウドベースの検知機能「クラウド・サンドボックス」が追加されたことで、最先端のマルウェア対策が実現する。

図研ネットウエイブ マーケティング部 ビジネス推進課 課長 武藤耕也氏

　そのFortiGateを、フォーティネット日本法人の設立以前から販売代理店として扱ってきた図研ネットウエイブでは、2002年から累計3万台以上の販売実績があるという。導入事例も多く、その1つとして武藤氏は国内大手都市銀行を紹介した。インターネットサービスのゲートウェイとしてFortiGateを採用した同行は、インバウンド／アウトバウンドを同時監視しながら多層防御している。「IDS／IPS専用機を廃止し、コストも大幅に削減できた」（武藤氏）。

　また名古屋工業大学の事例では、学生が勝手に立てた「野良アクセスポイント」をFortiGateに集約し、2300以上のアプリを可視化して制御を行った。さらに、「VDOM」機能によって1台のアプライアンスのリソースを仮想的に分割、研究室や教室、教職員などに合わせて異なるポリシー設定で運用している。

　「日々巧妙化する脅威に対応し、1台で多層防御できるFortiGateは、運用管理の手間やコストを削減できる、有効なソリューションだ」（武藤氏）。

セッション4〜Webサイト診断やクラウド型WAFでWebからの脅威に対抗

　続くセッション4「サイト運営の要は先手のセキュリティ〜複雑化する脅威への防御策」は、日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 部長の林正人氏が登壇した。

日本ベリサイン SSL製品本部 SSLプロダクトマーケティング部 部長 林正人氏

　近年、Webサービスに対する攻撃は増えており、実にWebサイトの98％が何らかの脆弱性を抱え、リスクにさらされているという（2010年 セキュアスカイテクノロジー調べ）。

　しかも、2011年のIPAの調査によれば、脆弱性が発見された場合でも、約53％の組織が対応までに1カ月以上かかっている。「改編後にテストしてからようやく本番環境へ移行するので、どうしても時間がかかってしまう」（林氏）。だが、修復完了までの期間が長引くほど情報漏洩のリスクは高まる。万が一、その間にインシデントが発生すれば、損害賠償やブランドの毀損も免れない。

　ベリサインでは、SSLサーバ証明書を導入した企業に対して無料サービス「脆弱性アセスメント」を提供している。脆弱性アセスメントは週に1回、Webサイトをクロールして結果を2段階のリスクレベルと9種類の影響範囲に分類してレポートする。

　ただし、これはあくまでもツールを使った診断なので、例えば正常通信にまぎれた不正活動などを見破るのは難しい。有償の「セキュリティ診断サービス」では、そうした穴を埋める。「人の目を介することで、よりきめ細かい診断ができる」（林氏）。

　もっとも、脆弱性が発見できてもテストなどですぐに修正できないこともある。そこで、ベリサインではクラウド型のWAF（Webアプリケーションファイアウォール）も提供している。ブラックリストを使ったシグネチャモデルで、安価かつ手軽に導入できる。「1か月のお試しサービスもあるので、ぜひ実力を確かめてほしい」（林氏）。

セッション5〜共通アーキテクチャで柔軟にセキュリティ機能を追加

　セッション5は、チェック・ポイント・ソフトウェア・テクノロジーズ テクニカル・サービス部 トレーニング・マネージャ 卯城大士氏が「実効果と継続性を高めるサイバー攻撃対策について」の講演を行った。

チェック・ポイント・ソフトウェア・テクノロジーズ テクニカル・サービス部 トレーニング・マネージャ 卯城大士氏

　攻撃コードを簡単に作成できるキットが安価に売買される現在、サイバー攻撃はますます激化している。卯城氏は、最近の攻撃事例として「EuroGrabber」を紹介した。この攻撃は、まず「Zeus」で作成したトロイの木馬をPCに感染させ、ユーザーが銀行の取引用画面にアクセスしたとき、携帯電話番号の入力フィールドを挿入、入力を待つ。次に、入力された電話番号宛てにSMSでアプリのアップデートを促すリンクを流し、マルウェアをインストールさせる。インストールに成功したら、あとは裏で銀行と取引し、金銭を窃取する。被害額はヨーロッパを中心に3600万ユーロに達した。

　これは一般ユーザーをターゲットにした攻撃だが、「この攻撃シナリオは典型的で、企業への攻撃にも利用されている」と卯城氏は指摘する。対策には、外部からの脅威を防御し、内部から外部の脅威を招き入れるリスクを軽減することが必要だ。

　チェック・ポイント・ソフトウェア・テクノロジーズでは、ユーザーが導入する製品からのフィードバックをクラウドの防御情報「ThreatCloud」で集約および分析し、450万以上のマルウェアシグネチャや30万以上のマルウェア感染サイトをデータベース登録して共有している。「新たな脅威と戦うために、共闘するコンセプトだ」（卯城氏）。

　ThreatCloudと連携するボット対策用の「Anti Bot Software Blade」や、マルウェアの侵入防御や疑わしいサイトへのアクセス防止を行う「Antivirus Software Blade」などを実装すれば、最新の脅威に備えられる。

　このほか、業務で必要な帯域をアプリケーションの検出と制御で確保する「Application Control Software Blade」、フィルタリング機能の「URL Filtering Software Blade」なども用意する。「いずれも共通のSoftware Bladeアーキテクチャで統合できるので、必要に応じて柔軟に機能拡張できる」（卯城氏）。

セッション6〜戦場の理論OODAループで標的型攻撃を防御

　「標的にされていないのに標的型攻撃？ ベンダーが語らない真相」の講演では、マクニカソリューションズ 代表取締役社長の森重憲氏が登壇した。

マクニカソリューションズ 代表取締役社長 森重憲氏

　森重氏は冒頭で、「攻撃者は脆弱性だけでなく、セキュリティシステムや利用アプリケーション、通常の業務体制などを調査し、それに合わせて攻撃を作り込んでくる。特にセキュリティの弱いサプライチェーンを確実に狙うことから、全員がターゲットになり得るという認識を持ってほしい」と注意を促した。

　こうした計画的なサイバー犯罪への対策として、米国では戦場の理論である「OODAループ」が採用されているという。OODAは、Observe（監視）、Orient（情勢判断）、Decide（意思決定）、Act（行動）の頭文字をとったものだ。敵より先にOODAループを回すことで先手を打てる。

　こうした戦略を立てるには、まず相手が何者かを調べることが重要だ。「もしも自分が敵に襲われたとき、どのような武器で襲われたかを確かめる前に、誰が何のために襲ったかを知りたい。標的型攻撃での対策も同様だ」（森重氏）。

　世界に通じるセキュリティの提供をモットーとするマクニカでは、標的型攻撃への技術的対策の1つとして、セキュリティアプライアンス「FireEye」を提案する。FireEyeは、シグネチャが検出されなかった疑わしいプログラムをVxE（仮想実行エンジン）で実行し、マルウェアらしい振る舞いを検知したら隔離する。未知の攻撃に威力を発揮する同製品は、「トライアルで導入した企業で未知のマルウェアを発見できなかったところはない」と森重氏は断言する。

　では、そのマルウェアは誰が作成したのか。それを調査するのが「CrowdStrike」だ。攻撃者判定、攻撃者別レポート、DNSによる不正サイトへのアクセス防止、個別コンサルティングを提供する。

　「両方を組み合わせることで、攻撃者や理由の分析ができ、真の意味での標的型攻撃対策が実施できる」（森重氏）。

特別講演〜生活の知恵としてのセキュリティ

　最後は、ラック セキュリティ技術統括 専務理事であり、日本スマートフォンセキュリティ協会（JSSEC）の事務局長も務める西本逸郎氏による「スマートデバイスが抱えるリスクとその対策〜あなたを、そして友人の情報を守るために〜」の講演だ。

ラック セキュリティ技術統括 専務理事／日本スマートフォンセキュリティ協会（JSSEC）事務局長 西本逸郎氏

　冒頭、西本氏は会場にBYODの推進状況を挙手で尋ねた。その結果、約4割がBYODを禁止、約2割が許可、約2割が黙認、残り2割が不明であることが分かった。「スマートデバイスの普及は、もはや止めることはできない。企業はこうした変化に適応したいけれども課題が多く、困惑しているのだろう」と西本氏は分析した。

　中でもセキュリティの懸念は大きい。「攻撃者に乗っ取られたPCでアプリを開発した結果、利用者情報を不正なサイトへ送信するコードを知らないうちに埋め込まれ、炎上した」「スマートフォンから不正なリンクをクリックしただけで身に覚えのない掲示板への書き込みが発生、逮捕されるも、ログがないので潔白も証明できない」。そんなホラーストーリーが現実になる日もそう遠くないと、西本氏は警告する。

　ここで、西本氏はスマートデバイスの「スマート」とは何かと会場に尋ねた。西本氏はスマートホームやスマートシティなどを列挙し、「インターネットとの融合」と定義、「インターネットに融合されて安全なはずはない」と論じた。だが、スマートデバイスは成長の原動力にもなり得るツールだ。「ただ私物デバイスを持ち込み禁止するという対策は、成長を無視して思考停止している状態だ。私物デバイスは、すでに業務へ持ち込まれている。ただ禁止をうたうのは、賢明ではない」（西本氏）。

　そこで、まずは2年間程度かけてスマートデバイスの活用に慣れ、ワークスタイルやライフスタイルを含めて今後どう変えていくかを考えてほしいと、西本氏は提案する。そして、セキュリティを車のブレーキに例えて、「ブレーキがあるから早く走れる。セキュリティは安心や安全のためではなく、生活の知恵として考えてはどうか」と述べた。

　「スマートフォンのスマートな活用は、まだ中途半端な状況だ。何のためにセキュリティ対策を敷くのか、原点に返って考え直す。そして、やらされるセキュリティではなく、やるセキュリティに頭を切り替えられれば、スマートな活用へと一歩近づく」（西本氏）。

　現在、スマートデバイスのより良い活用を目指し、同氏はJSSECでガイドブックの作成や情報発信に取り組んでいる。「スマートデバイスのユーザーにとっても、サービス提供企業にとっても有益な情報を発信している。皆さんも、ぜひ積極的に参加してほしい」。西本氏は会場にそう呼びかけて、講演を締めくくった。