EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

プロ中のプロ、名和氏を最高技術顧問に迎えPwCがセキュリティの新会社を設立

edited by DB Online   2015/11/25 14:00

 先日沖縄で開催されたCyber3 Conference Okinawa 2015では、いくつかのセキュリティベンダーが開催に協力していた。その1つがパロアルトネットワークスだ。同社は国際会議開催期間中に、同社の実施した調査に基づく最新のセキュリティレポートの解説をプレス向けに実施した。

いま攻撃者からはSaaSが狙われている

 この調査レポートは、パロアルトネットワークスの製品を使用している日本も含む世界7,000社以上の企業の、合計65ペタバイトにも上る実データを基に企業のセキュリティの現状を分析したものだ。パロアルトネットワークス エヴァンジェリスト兼テクニカルディレクターの乙部 幸一朗氏によれば、このデータから世界で67万5,000を越える脅威が見つかったそうだ。この膨大な脅威の中で、最近の目玉とも言えるのがSaaSに対するものと、リモートデスクトップに対する脅威だと言う。これは、まさにこういったサービスの利用が増えているがために、攻撃の対象となっているわけだ。

パロアルトネットワークス 乙部 幸一朗氏
パロアルトネットワークス 乙部 幸一朗氏

 ところで脅威が目立っているSaaSというのは、SalesforceのようなERPやCRMをクラウドで提供するものではないようだ。ではいったいどういったサービスが狙われているのか。1つがDropboxやiCloudのようなクラウド上のストレージサービスだ。そしてもう1つが、OutlookやGmailなどのメールサービスだ。

 具体的なSaaSの脅威としては、何らかの方法でSaaSの上にマルウェアが入り込み、そこからローカルのPCなどが攻撃を受けるというものが1つ。もう1つが、SaaSを経由して重要情報が漏洩するというもの。日本ではSaaSをターゲットにした攻撃はまだ見つかっていないようだが、海外ではすでに確認されているという。開発したプログラムのソースコードが、SaaS経由で漏洩したケースがあるようだ。また顧客情報を盗む目的でのSaaSへの攻撃も確認されている。

 現状、SaaSへの攻撃に対する決定的な対策法はないようだ。基本的には、経路の暗号化やログインIDとパスワードの厳密な管理といった基本的な対策をまずは確実にやることだろう。その上で、SaaSのサービス側で何らかの対策を施してもらうことに期待することになるだろう。また利用者サイドでできる対策の1つとして、SaaSの中にあるマルウェアや重要情報を、機械学習などの技術を使って検知する方法はすでにあるという。

 「SaaSを使うメリットももちろんありますが、SaaSを使うことで一気に漏洩が拡大してしまう脅威もあります」と乙部氏。新しい環境、新しいツールなどに対しても、速いペースで未知の脅威がやってくる時代だ。そのため、1年前のセキュリティの知識だけでは適切な対処が難しくなりつつある。乙部氏は、セキュリティ対策の提言として、下記の3つを挙げる。

  1.  調査、分析による可視化
  2.  対策を実装して脅威を止める
  3.  セキュリティ教育を実施しセキュリティポリシーの徹底、注意喚起

 「従業員へのセキュリティの教育は、年に1回のペースではダメです。定期的に継続してやる必要があります。そのためには、同じ業界の同じ中でセキュリティに関する情報を共有する動きも出てきています。そういったものも使って、サイバー演習などを行います。脅威の情報は最新のものを使ってやる必要があります」(乙部氏)

 セキュリティ対策のツールを入れるのはもちろん、システムについては多層防御を施す。その上でITシステムに対し、情報を扱うためのセキュリティポリシーをいかに当てはめていくか重要だと言う。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 谷川 耕一(タニカワ コウイチ)

    EnterpriseZine/DB Online チーフキュレーター かつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリストとして、クラウド、データベース、ビッグデータ活用などをキーワードに、エンタープライズIT関連の取材、執筆を行っている。

バックナンバー

連載:週刊DBオンライン 谷川耕一

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5