SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

週刊DBオンライン 谷川耕一

プロ中のプロ、名和氏を最高技術顧問に迎えPwCがセキュリティの新会社を設立


 先日沖縄で開催されたCyber3 Conference Okinawa 2015では、いくつかのセキュリティベンダーが開催に協力していた。その1つがパロアルトネットワークスだ。同社は国際会議開催期間中に、同社の実施した調査に基づく最新のセキュリティレポートの解説をプレス向けに実施した。

いま攻撃者からはSaaSが狙われている

 この調査レポートは、パロアルトネットワークスの製品を使用している日本も含む世界7,000社以上の企業の、合計65ペタバイトにも上る実データを基に企業のセキュリティの現状を分析したものだ。パロアルトネットワークス エヴァンジェリスト兼テクニカルディレクターの乙部 幸一朗氏によれば、このデータから世界で67万5,000を越える脅威が見つかったそうだ。この膨大な脅威の中で、最近の目玉とも言えるのがSaaSに対するものと、リモートデスクトップに対する脅威だと言う。これは、まさにこういったサービスの利用が増えているがために、攻撃の対象となっているわけだ。

パロアルトネットワークス 乙部 幸一朗氏
パロアルトネットワークス 乙部 幸一朗氏

 ところで脅威が目立っているSaaSというのは、SalesforceのようなERPやCRMをクラウドで提供するものではないようだ。ではいったいどういったサービスが狙われているのか。1つがDropboxやiCloudのようなクラウド上のストレージサービスだ。そしてもう1つが、OutlookやGmailなどのメールサービスだ。

 具体的なSaaSの脅威としては、何らかの方法でSaaSの上にマルウェアが入り込み、そこからローカルのPCなどが攻撃を受けるというものが1つ。もう1つが、SaaSを経由して重要情報が漏洩するというもの。日本ではSaaSをターゲットにした攻撃はまだ見つかっていないようだが、海外ではすでに確認されているという。開発したプログラムのソースコードが、SaaS経由で漏洩したケースがあるようだ。また顧客情報を盗む目的でのSaaSへの攻撃も確認されている。

 現状、SaaSへの攻撃に対する決定的な対策法はないようだ。基本的には、経路の暗号化やログインIDとパスワードの厳密な管理といった基本的な対策をまずは確実にやることだろう。その上で、SaaSのサービス側で何らかの対策を施してもらうことに期待することになるだろう。また利用者サイドでできる対策の1つとして、SaaSの中にあるマルウェアや重要情報を、機械学習などの技術を使って検知する方法はすでにあるという。

 「SaaSを使うメリットももちろんありますが、SaaSを使うことで一気に漏洩が拡大してしまう脅威もあります」と乙部氏。新しい環境、新しいツールなどに対しても、速いペースで未知の脅威がやってくる時代だ。そのため、1年前のセキュリティの知識だけでは適切な対処が難しくなりつつある。乙部氏は、セキュリティ対策の提言として、下記の3つを挙げる。

  1.  調査、分析による可視化
  2.  対策を実装して脅威を止める
  3.  セキュリティ教育を実施しセキュリティポリシーの徹底、注意喚起

 「従業員へのセキュリティの教育は、年に1回のペースではダメです。定期的に継続してやる必要があります。そのためには、同じ業界の同じ中でセキュリティに関する情報を共有する動きも出てきています。そういったものも使って、サイバー演習などを行います。脅威の情報は最新のものを使ってやる必要があります」(乙部氏)

 セキュリティ対策のツールを入れるのはもちろん、システムについては多層防御を施す。その上でITシステムに対し、情報を扱うためのセキュリティポリシーをいかに当てはめていくか重要だと言う。

次のページ
コンサルティングでできなかったセキュリティの技術的なサービスも提供する

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
週刊DBオンライン 谷川耕一連載記事一覧

もっと読む

この記事の著者

谷川 耕一(タニカワ コウイチ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7484 2015/11/25 14:18

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング