@IT 情報漏えい対策セミナー ダイジェスト
どう備える? どう対応する? 頻発する情報漏えい
柏木 恵子
2011/7/14
「PlayStation Network」における個人情報漏えい事件をきっかけに、再び情報漏えい対策に注目が集まり始めている。我々はどう備え、どのような対応を取るべきなのか。6月16日に開催された情報漏えい対策セミナー「防ぐ、見つける、拡散を抑える――現実的な情報漏えい対策とは」の様子をレポートする。(編集部)
頻発する情報漏えい事件、有効な対策とは?
4月、ソニーのオンラインサービス「PlayStation Network」において、史上最大規模の個人情報漏えい事件が発覚した。このインシデントの後も、ソニー関連会社やセガ、シティグループなどで相次いで情報漏えい事件が発生している。いつ自社が標的になるか分からない状況で、いったいどんな対策が必要であり、可能なのか――。
 |
2011年6月16日、東京・ベルサール飯田橋で、@IT編集部が主催する情報漏えい対策セミナー「防ぐ、見つける、拡散を抑える――現実的な情報漏えい対策とは」が開催された。このセミナーでは、最近の事件の傾向や背景を分析しつつ、情報漏えいを極力避けるためにできる対策と、万一発生してしまった場合に影響を極小化するヒントを紹介した。
| 【関連記事】 情報漏えい対策を通じて「守るべきもの」とは http://www.atmarkit.co.jp/fsecurity/special/156dlp/dlp01.html |
高度化するサイバー攻撃、「防ぐのは難しい」
基調講演に登壇したのは、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)常務理事の早貸淳子氏である。JPCERT/CCは経済産業省からの委託事業としてコンピュータセキュリティ早期警戒体制構築運用事業を行っており、海外からサイバー攻撃を受けた際などには国際間の窓口としても機能する。
 |
一般社団法人 JPCERTコーディネーションセンター 常務理事 早貸 淳子 氏 |
情報漏えいには、内部犯によるケースと外部からの攻撃によるケースがあるが、早貸氏は、昨今の大規模な情報漏えい事象なども鑑み、近年の情報漏えいの原因ともなっている高度化したサイバー攻撃と、第三者による不正な情報窃取の実態を中心に講演した。
サイバー攻撃の対象や意図のトレンドは変化してきている。かつては、広くウイルスなどをばらまく愉快犯的なものが多かったが、近年は、経済的な利益を目的に、特定の情報資産を狙う標的型攻撃が増えてきた。また、愉快犯の場合は攻撃が成功したことを世間に知らせるために顕在化するが、情報窃取を目的とした攻撃は成功したことが分からないように潜伏して長く窃取し続けるという違いもある。
この変化の背景には、サイバー攻撃がビジネスとして成立する市場が成立しているという事実がある。そこでは窃取した情報だけでなく、攻撃のためのツールや脆弱性情報までが売買されており、その結果、攻撃は分業化され、技術的に高度になる傾向にある。
実際の攻撃は、例えば「情報収集」→「侵入」→「探索」→「窃取開始」→「より広汎な情報にアクセスするための追加的な攻撃」→「バックドアの設置など」→「権限昇格」→「システム全体の掌握」といったように、ステップを踏んで複合的に行われる。
ステップの最初に当たる「情報収集」では、Web上に公開されている情報から攻撃対象となる人物のコンタクト先を探すだけでなく、その組織がどのようなウイルス対策ソフトを導入しているかという情報まで調べる場合もあるという。
「侵入」はフィッシングによるケースが多い。これも手法が高度化しており、偽サイトを用意するのではなく、メールに添付したファイルを開くためにIDとパスワードを入力させる手法が使われた。Gmailのアカウント情報漏えい事件でも、この手法が使われたという。
「探索」では、標的のPCで「意図的に」ウイルスに気付かせる挙動を行い、システム管理者に連絡させるケースもあるという。狙いは、システム管理者に管理者権限でログインさせ、そのタイミングで管理者権限のIDとパスワードを窃取することだ。こうしてシステムを掌握した後も、意図的におとりの攻撃を検出させ、管理者を「セキュリティ対策は正常に機能している、大丈夫だ」と安心させることもある。
このような状況では、残念ながら侵入を完全に防ぐことは難しい。現実的な対策は、「入られても被害が出ないようにすること」である。ユーザーが意図しないインターネットへの通信を阻止することで、本当の被害を抑制することができる。
早貸氏はまた、単一障害点をなくす多層防御が必要であろうとも述べた。JPCERT/CCでは、ユーザーが標的型攻撃のフィッシングメールにだまされないように訓練する「ITセキュリティ予防接種」も実施していた。こうした取り組みも参考になるだろう。
| 【関連記事】 ダミーメールの予防接種で標的型攻撃に対する「抗体」を(@ITNews) http://www.atmarkit.co.jp/news/200808/07/jpcert.html |
スマートフォンも含めた対策を
日本ベリサインの大塚雅弘氏(SSL製品本部 ダイレクトマーケティング部 マネージャー)は、「クライアントレベル」と「クライアント〜Webサーバ間」に分け、企業が考えるべき情報漏えい対策について説明した。
 |
日本ベリサイン株式会社 SSL製品本部 ダイレクトマーケティング部 マネージャー 大塚雅弘氏 |
現在、インターネットを利用する端末は多様化している。従来から利用されてきたコンピュータだけでなく、モバイルPCやスマートフォン、タブレット端末などが加わった。利用されるサービスもソーシャルメディアなど個人向けのものが増え、ともすれば企業のシステム管理者よりもユーザーの方が詳しいというケースもある。
このような状況下で、個人のスマートフォンを業務でも利用すれば業務効率は上がるかもしれない。だが、セキュリティが徹底しにくくなるという不安もあるのが、企業側の率直な気持ちだろう。
そこでベリサインがクライアントレベルの対策ソリューションとして提供しているのは、「MDM(Mobile powered by CLOMO)」である。iPhoneやiPad、Android端末に対してリモート管理機能を提供するもので、遠隔操作により管理者が不適切なデータを消去したり、紛失した場合に初期化することもできる。
クライアント/Webサーバ間の対策としては、「SSLサーバ証明書」がある。おなじみSSLは通信を暗号化するため、個人情報やクレジットカード番号をやりとりするWebページでは必須だ。また、サーバ証明書には、そのサイトが正規のものであると証明する機能がある。
フィッシング用の偽サイトなどを作られてしまった場合、企業の信用は大きく低下し、顧客離れにもつながりかねない。ベリサインでは、ユーザーがひと目で正規のサイトだと分かるように機能が強化されているEV SSL対応の証明書を発行している。この証明書はマルウェアスキャン機能も標準装備しており、ユーザーに対してはマルウェア感染の危険がないことを知らせるとともに、もし感染した場合には管理者に通知されるようになっている。
| 【関連記事】 スマートフォンに証明書ベースの管理と認証を提供(@ITNews) http://www.atmarkit.co.jp/news/201103/31/mdm.html |
古くて新しい漏えい経路「USBメモリ」への対策は?
Skyの前田香織氏は、情報漏えいの経路の1つである「USBメモリ」に着目した情報漏えい対策についてプレゼンテーションを行った。
 |
Sky株式会社 ICTソリューション事業部 システムサポート部 インストラクター サブチーフ 前田香織氏 |
人的ミスによる情報漏えいは相変わらず多発している。これを防ぐには、情報の出入り口となるPC運用の可視化が重要となる。そして、クライアントPCの利用状況を可視化するには、操作ログの収集が有効だ。
「SKYSEA Client View」は、PCからUSBメモリ、スマートフォンなどのログ収集や資産管理を一元的に行うソリューションである。操作ログを収集するだけでなく、アプリケーションの使用禁止や名前変更禁止などのポリシーを設定し、ポリシー違反があった場合にはそれを管理者に知らせる。利用者本人に通知する機能もあるので、教育効果も期待できる。
7月発売のVer.6は、新機能としてAndroid端末に対応する。Android対応機能では、端末稼働状況確認やリモート設定などの「資産管理」、GPS位置情報も含むログ収集が行える「ログ管理」、アプリケーション利用制限や注意表示などの「セキュリティ管理」、端末ロックやデータ消去ができる「紛失対策」といった機能が提供される予定だ。
情報漏えいのメディアとして頻繁に報道などに登場するのがUSBメモリだ。USBメモリは大容量だが、小さく数も多いため、台帳に登録するだけでもひと苦労である。SKYSEA Client Viewでは、USBメモリをPCに挿すだけで台帳が完成し、棚卸しの際も、期間を決めて各ユーザーにクライアントPCにUSBメモリを挿入するように通知するだけでよい。実際に確認に行くのは、そこから漏れてしまった分だけで済み、運用の負荷を減らせるという。
資産管理の機能としては、ハードウェア情報の他に、ソフトウェア情報も収集する。これは、ライセンス違反を発見するだけでなく、導入しているが使っていない余剰資産の洗い出しにも有効である。
| 【関連記事】 いま求められる情報セキュリティ対策 〜PCからUSBメモリ、スマートフォンまで一括管理〜(Webキャスト) http://wp.techtarget.itmedia.co.jp/contents/?cid=10396 Skyがクライアント管理ソフトをバージョンアップ(@ITNews) http://www.atmarkit.co.jp/news/201107/13/sky.html |
1/2 |
 |
| Index | |
| どう備える? どう対応する? 頻発する情報漏えい | |
 |
Page1 頻発する情報漏えい事件、有効な対策とは? 高度化するサイバー攻撃、「防ぐのは難しい」 スマートフォンも含めた対策を 古くて新しい漏えい経路「USBメモリ」への対策は? |
| Page2 増える「故意」の情報漏えいに歯止めを 考えてますか? 漏えいした後の情報公開と対応 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
