SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

Security Online Day 2015 講演レポート(AD)

サイバー攻撃に備えたIT基盤の守り方――SOCの観測データから見える昨今のサイバー攻撃の傾向と対策

 急速に広がりつつあるサイバー攻撃。その対象も手口も多様化しており、オンプレ/クラウド環境に関わらず、効果的なサイバーセキュリティ対策・運用が欠かせない時代となってきた。「Security Online Day 2015」のセッションでは、長期にわたり、多彩な企業のセキュリティ対策に関わってきた伊藤忠テクノソリューションズの伊藤英二氏が登壇。セキュリティ・オペレーション・センター(SOC)における観測データをもとに、昨今のサイバー攻撃の傾向と対策について解説した。

「守りたいのに守れない」状況をどうするか?

 インターネット黎明期からセキュリティ対策に関する製品やソリューションの販売・保守を手がけてきたCTC(伊藤忠テクノソリューションズ)。2014年10月にはセキュリティ運用施設「CTCセキュリティ・オペレーション・センター」を開設し、グローバルに対応した独自監視網をもとに「マネージド・セキュリティ・サービス」を開始している。そうした長年の知識や経験から、今最も注意すべきサイバー脅威は、「Webサイトを狙う攻撃」と「企業内の標的型攻撃」の2つだという。

伊藤忠テクノソリューションズ株式会社 クラウド・セキュリティ事業推進本部
セキュリティビジネス部 部長代行 伊藤 英二氏

 そもそもまず、Webサイトへの攻撃は止まらないのか。サイバー攻撃の観測データから実態を解析すると、そこには実に人間臭い「攻撃者の姿」が見えてくる。脆弱性や設定ミス、管理不十分など、セキュリティが破られる理由はそれぞれだが、「要は狙いやすい弱いところ」が狙われている。  

 それなら「弱いところ」を塞げばいい。という発想になるが、どうやらそう単純ではなさそうだ。IPAの「2014年度情報セキュリティ事象被害状況調査」報告書によると、内部のローカルサーバではセキュリティパッチを「ほぼ完全に適用している」と答えたのはわずか1/3。その他は、一部であったり、把握してなかったり不完全であることがうかがえる。そして、「パッチが悪影響を及ぼす可能性がある」という理由が7割を超える。

 「しないのではなく、できないというのが実状であり、そのほとんどがセキュリティ担当者の不在・不足。実際、専門部署がある、十分であるとする企業はわずか2割しかない。しかしながら、攻撃者はそうした企業の事情などおかまいなし、むしろ好機と考えている」と伊藤氏は指摘する。

 実際、2014年には、GNU bashの脆弱性(ShellShock)やOpenSSLの脆弱性(HeartBleed)を突いた攻撃が、そして2015年にはAdobe ReaderやAdobe Flash Playerを利用した攻撃が相次いだ。そしてWordPressなどのCMSなども含め、かつて標的となっていた脆弱ポイントもいまだに攻撃を受け続けているという。「報道やネットで話題になるような新しい脅威だけでなく、以前からのものも新旧取り混ぜて攻撃されている」(伊藤氏)という状況というわけだ。

 当然、新たな脅威も続々現れており、2015年6月12日、総務省が「第三者によるIP電話等の不正利用に関する注意喚起」を公表したが、CTCのSOCが企業の持つネットワークレンジ(範囲)に対してIP電話を利用する通信機器(PBX)を探索する行為を観測したところ、様々な国からのアクセスが見られたという。

標的型攻撃対策は、アウトソースも選択肢に

 こうした弱点への攻撃による標的型攻撃を防ぐことはできないのか。特にマルウェアの感染が収まる様子がないのは、「メールとWebという業務に直結した感染経路を利用するから」と伊藤氏は指摘する。また、近年ではマルウェアも巧妙化し、すぐには活動せず発見されないようにPC内に潜み、必要に応じて活動するものなども登場しているという。

 送られ方も巧妙化している。たとえば、メールの内容は顧客からの問い合わせや警察からの通知などを装い、添付されているファイルも注文書など、ついつい開いてしまうようなものになっている。Webについても、いつも見ている信頼するサイトが改ざんされていたり、Web上のリンクやメールで偽サイトに誘導されたりして、知らぬうちにマルウェアを読み込んでしまうことも多く報告されている。そうして読み込まれたマルウェアの中には、深夜や休日などに隠密行動するなど、発見されにくい仕様のものもある。

 マルウェア対策として、入ってくるものをどう防ぎ、外への流出をどう防ぐか。そうした課題のもと、「Firewall機能」はもちろん、不要・不審サイトへのアクセスを防ぐ「URL Filtering」や「AntiVirus機能」など、様々な製品が用意され、導入されてきた。しかし、伊藤氏によると「被害にあった企業の分析をしてみると、こうしたツールや仕組みが導入されているが、的確に運用されていない」という。

 そもそも何重にもセキュリティ対策を行っているにも関わらず、PCのセキュリティパッチが当てられていないなど、割れ窓が放置されていることも少なくない。サイバー攻撃に対する人的・組織的準備が不足していることに加え、技術的な不足も見受けられる。

 そうした状況下で、組織的準備としての「CSIRT設立」「人材育成」、そして技術的管理策として「内部対策」、そして運営・維持を目的とした「総合セキュリティ運用」などがポイントとなる。しかしながら、なかなか自社で行うことは難しく、アウトソースを賢く利用することも必要だろう。そこにCTCとして内部対策としてのソリューションを提供できるという。

次のページ
サイバー攻撃の一般的な流れと求められる対策

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7276 2015/11/10 17:14

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは