次はソフトウェア・デファインドのインフラが狙われる?
―― Windows XPのサポート終了に関する脅威はいかがでしょうか。
藤田 Windows XPの制御系が山ほどありますから、その辺を狙われてしまうと、非常に怖いと思います。ところがお客様にはまだ、危機感がありません。「別にパッチ当てなくても、古くなるから逆に攻撃が起きないだろう」とか。最近ではUSBメモリの使用禁止とか、だいぶ対策が行われていますが、しかし無数の接触ポイントがある現在、本当に病気のウイルスと同じで、どこかですれ違っただけで移るかもしれません。
「XPだけは何とかした方が」と言うのですが、ガバナンスが弱くてどこに何台XPがあるのかすら把握できていません。
それからもう一つの脅威として今、すべてがソフトウェア・デファインド(SD)になっていることが挙げられます。たとえばネットワークにLinux系のOSが入っていますが、以前はルーター系の特殊なOSが入っていた。それでもバグがなかったわけではありませんが、攻撃される可能性は低かった。
ネットワークだけでなくストレージなどもSDになっていて、そうなってくると、そこを狙ってくることが当然、あり得る。さらにソフトウェア化が進むと、XPのような古い物もそうですが、新しい物も脅威になる。新旧が混在しているといよいよ難しくなります。SD化の脅威はまだ指摘されていませんが、間違いなく出てくると思います。
そうなると、ITの専門家によるきちんと区分けが必要になります。本来、ネットワークで守れる物が数多くあるのです。たとえば制御系のネットワークは、アドレス体系がまったく違うので、ネットワーク系、ストレージ系をきちんと分けておく。ストレージはストレージにしか行けない。ただ、そういうことをきちんと行っている会社は意外と少ないのが現状です。
一個破られて、そこから管理系に入られると分かってしまったら、人間で言えばリンパ管に入ったようなもの。全部に広げられてしまいます。
もちろん、インターネットに面しているところとか、最近作ったものはそうなっています。ところがストレージ用に作ったものが、地方に行ったら普通のネットワークに使われていたという事例がありました。そのように、ネットワークのアドレスガバナンスといったものが十分ではない。特に心配なのは日本のグローバル企業で、海外に対するガバナンスが弱い。裏では繋がっているわけですから。
HPではM&Aなども行うため、その脅威に気づいて今から15年ぐらい前に、見事なぐらい厳しい仕組みを入れています。分けられているネットワークを越境するものがあれば、すぐに分かるように押さえているのです。
一方、ネットワーク分離の後付は難しいのです。さらにSDでものすごく複雑になってしまい、管理できない。そういう意味で言うと、リアーキテクティングの時に来ているのかなと思います。
BYOD時代に即したユーザー教育が必要になっている
さらに古い問題の話になりますが教育、ユーザーの意識もどんどん変えていかなければなりません。HPの業務用PCの場合、データは暗号化してあって、VPNでないと会社のネットワークにはつなげません。ですから盗聴は無いのですが、誤ったダウンロードは可能です。たとえば自宅で作業していて、タバコを吸いに庭に出た瞬間、息子が操作してFacebookに飛んで「このゲームが面白い」という書き込みを見て、そこに飛んでフィッシングサイトに引っかかるかもしれない。
スタンドアローンで立ち上げて埋め込まれ、気がつかないで会社のネットワークにつないだら感染ということがあり得る。それはBYODでも同様です。子どもでも使える環境になっているので、変な話ですが、家族も教育する必要があります。「お父さんのパソコンを使っては駄目」と。
ありとあらゆる人がITを使えるようになっているので、セキュリティの考え方を変えなければならないのです。
―― モバイル、BYODについて、今年の状況はいかがでしょうか。
藤田 多くの企業では、あまり踏み込んでいなくて、Webが見られるレベルです。業務アプリケーションまではいっていません。
例外はある建設会社で、現場の業務をすべてBYODでできるようにしています。何かデータが出ればそこで入力するという“発生主義”を採用している一方、担当者の8割が現場にいる。そこで大英断で仕組みを入れたのですが、そのために24時間365日のセキュリティインシデントに対するレスポンスの仕組みを作っています。
ただ、1年前と比較してBYODは急速に広がっています。そこでは皆さん、割り切っている。はじめは水際防御で、指紋認証、コンテンツ認証、持ち出しの厳しい制限をしていたのですが、今は情勢に押されて「どこで使ってもいい」と。
支給のウルトラブックは業務時間と業務場所で使うのだから良いのですが、BYODの機器はプライベートでも使う。飲み屋で友人に画面を見せたり、海外旅行の際も持っていく。それに対応できるのか、考えなくてはなりません。
最後にまとめますと、最近、新聞沙汰になるような事件は起きていませんが、BYODやAPT攻撃の可能性は確実に広がっています。セキュリティ担当者と従業員は変わっていかなければなりません。相手の動機も変わっている。古いセキュリティポリシーは通じない過渡期だと認識すべきです。古い物も新しい物も危ない。日本では一度買うと償却するだけですが、メンテナンスが必要です。
―― 本日は貴重なお話をありがとうございました。
本記事の関連資料として、下記の講演資料を公開しています。
「標的型やAPT攻撃対策を踏まえたセキュリティアプローチによる経営リスクマネージメント」(日本HP 藤田 政士 氏)
「サイバー犯罪史にみるセキュリティ市場動向~」(田中 宗英 氏、増田 博史 氏)
「モバイルを最適化する HP社内IT環境の作られ方」(佐藤 慶浩 氏)
