SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2016 講演レポート (AD)

アカウントハッキング対策の最前線――NRIセキュア大島修氏が解説する不正アクセスの課題と対策

 他サイトで流出したIDアカウントで攻撃対象のサイトへログインを試みるという「リスト型アカウントハッキング」の急増等、Webサイトへの不正アクセス被害が止まらない。その防御のためには、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化することが有効とされている。しかしながら、どのように定義すべきか、設定後の運用はどうすべきか。「Security Online Day 2016」に登壇した、NRIセキュアテクノロジーズ株式会社の大島修氏が解説した。

「パスワード使い回し不可」ではもう防げない

 NRIセキュアテクノロジーズは、野村総合研究所グループの情報セキュリティ専門の中核企業として、コンサルティング、ソリューション、運用監視サービスの3事業を軸に企業の情報セキュリティ課題をワンストップで解決してきた。

 大島氏が所属するソリューション事業では外部攻撃対策として「攻撃から守る」「拡大を防ぐ」「異常に気づく」のそれぞれにソリューションを持ち、その最適化によって企業それぞれのニーズやリスクに合わせたセキュリティサービスとして提供している。

 今回は特に外部公開されているWebサービスに対する不正アクセス、たとえば「なりすまし」や「アカウント乗っ取り」による攻撃への対策として「異常に気づく」ための施策について紹介された。

NRIセキュアテクノロジーズ株式会社 ソリューション事業本部
ソリューションビジネス一部 大島 修氏

 そもそも不正アクセスの被害の現状はどうなっているのだろうか。警視庁の広報資料「平成27年における不正アクセス行為の発生状況等の公表について」では、2011年以来国内の不正アクセス被害の認知件数が高いことを示しており、2014年をピークに2015年は減少しているものの、それは不正プロバイダの一斉摘発の影響であり、実質はいまだ高い水準にあると考えられる。さらに、その3/4が「インターネットバンキングでの不正送金」であり、次いでオンラインショップでの不正購入、オンラインゲームやコミュニティサイトの不正操作が続く。

 それでは、いったいID/パスワードはどこから漏れるのだろうか。まずWebサイトからダウンロードしたファイルやメール添付されてきた「ウイルス・マルウェアに感染」したことによるもの。そして、人気アプリに便乗した悪質なスマホアプリ・偽アプリによるもの。また匿名プロキシや無防備な公衆Wifi等の通信中継機器から漏れるケース、フィッシングサイトでつい入力したり、ソーシャルエンジニアリングで誕生日等から推測されたりということもあるだろう。

 その中で最も大規模な漏洩リスクをはらんでいるのが「他サービスからの漏洩」だ。報道される情報漏洩ニュースのほとんどがこちらに該当し、その規模も数千万、数億という大量流出であることが多い。流出した情報はブラックマーケットで売買されており、攻撃者が容易に情報にアクセス可能となっている。こうして漏れた情報は、リスト型アカウントハッキングに使用されるアカウント情報の源泉となっているというわけだ。となれば、もうその情報の流通は止めようがない。

 それでは不正アクセスに備えるために、個人や企業はどうすればいいのだろうか。基本的なユーザー側の対策として、パスワードの使い回しをしない、定期的にパスワードを変更する、推測されにくいパスワードを選ぶ、怪しいメール添付ファイルを開かない、アンチウイルスソフトを最新化しておくなどがある。

 しかし、他サービスからの漏洩に対して最も実効性が高いと思われる「パスワードの使い回しをしない」は、実際には一般ユーザーが覚えられるパスワードは3つが限度とされており、約7割のユーザーが複数のサイトで同じパスワードを使い回しているという回答からもうかがえるように、実は現実的ではない。また、強制的にパスワードを定期変更させても、煩雑さから簡単な類推しやすいものになってしまう恐れがある。

 近年では金融機関を中心に、ワンタイムパスワードトークンや多経路認証等の認証強化がなされているが、時にユーザビリティを極端に損ねることになり、サービス離反につながる恐れがあることから、セキュリティとユーザビリティを高度にバランスを取ることが必要だという。

 それでは既存の境界防御対策はどこまで有効なのか。FireWall/IPS/IDSまたはWAFでは人の手によるなりすましログインにはまず無効であり、リスト型アカウントハッキングでも短期的には可能であっても長期スパンで見ると防御が難しい。

本記事の講演資料『アカウントハッキング対策の最前線!~アカウント振る舞い分析で不正アクセスを検知する~』(全31頁、PDF版)を無料ダウンロードいただけます!

リスト型アカウントハッキングに代表されるWebサイトへの不正アクセスと、その後の被害が後を絶ちません。今後は、ユーザーの振る舞いを分析して不正アクセスを検知し、認証を強化する対策の重要性が一層重要となります。本講演資料では、業務的な重要度に応じた認証レベルを定義するとともに、アイデンティティの振る舞いに注目した不正アクセスを検知するフレームワークと、未知の脅威に対し、PDCAサイクルで対策を打ち続ける必要性を分かりやすく解説しています。

講演資料(無料PDF)のダウンロードはこちら!

次のページ
コンテクストから不正アクセスを検知する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8573 2016/11/08 13:35

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング