Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

間違いだらけのサイバー攻撃対策 まとめ

2014/07/22 00:00

 これまで8回にわたり企業のサイバー攻撃対策の考え方とその具体策を解説してきた「間違いだらけのサイバー攻撃対策」ですが、今回で最終回となります。締めくくりとして、執筆を担当した各メンバーから本連載の振り返りや言い足りなかった点などをお伝えしていきます。

 

香山:『孫子・謀攻』にある「彼を知り己を知れば百戦あやうからず」という故事・ことわざをご存じでしょうか?「敵についても味方についても情勢をしっかり把握していれば、何度戦っても敗れることはない」がその意味になります。

 「彼を知る」ことを昨今のサイバー攻撃になぞらえれば、「攻撃手法」や「何を狙っているのか」を知ることと言えるでしょうか。そして、この故事・ことわざには続きがあります。その1つが「彼を知らず己を知らざれば、戦う毎に必ずあやうし」です。

 「敵のことも味方のことも知らなければ必ず負ける」がその意味になりますが、必ず負けるパターンは「敵のことも自分自身のことも知らない状況」と言えます。

 本連載では、昨今のサイバー攻撃の傾向、手口やマイクロソフト社内のセキュリティ対策の考え方である多層防御などを参考例として紹介しました。

 これに加えて皆さんに検討いただきたいことは、自社や自組織がいまどのような状況にあるのかを把握するため、客観的なアセスメントを行うことだと考えています。

 セキュリティリスクを定義し、そのリスクに対応した対策を策定し、その対策が実装されており、記録が残る状態になっているかを確認することが重要です。今後の計画の参考にいただければと思います。

高橋:今年は、3月から5月にかけて、OpenSSLのHeatbeet問題、DNSのトップドメインを含んだキャッシュポイゾニング問題、Windows XP/Internet Explorer 6/Office 2003のサポート終了、Apache Strutsの脆弱性など、セキュリティ上の重要なイベントが続きました。

 それぞれが重要な問題ですが、組み合わせによってはインターネットの信頼基盤が揺らぎかねない問題に発展する可能性があります。また、単に更新プログラムを適用するだけでは解決ができない、利用者自身が当事者として問題の本質と影響をしっかりと理解しないと、適切な対策ができない問題でもあります。

 例えば、WebサーバーにHeartbeetの脆弱性があった場合、プログラムの更新だけでは不十分で、証明書の再発行が必要となります。そして、その際には、秘密鍵を変える事が必要になりますが、適切に実施されていないサーバーが多い事も報告されています。

 このような問題に対して、まずは私自身が敏感に反応できるように努めていきたいと考えており、そして様々な機会を通じて問題の影響や対策について、ご紹介していきたいと考えています。

村木: 昨今のセキュリティ脅威の高まりや複雑化から、「これをしておけばすべて安全」といったような画一的対策ではなく、多層防御や、脅威の内容を理解した上での柔軟な対策の必要性を感じられている方は多いと思います。同時に、IT運用を行う上では、急な変更、パッチ適用、ユーザーの利便性の確保も必要であり、実際の対策方法に悩む管理者の方も多いと思います。

 今回、日本マイクロソフトで情報セキュリティに携わる複数のメンバーで執筆しましたが、それぞれ得意分野も異なることもあり、多角的な内容をお届けできたとともに、同時に私自身も様々な角度から考えるよい機会にもなりました。皆さんにセキュリティ対策の悩みを解消するヒントを提供できていれば幸いです。また、今後も様々な機会を通じてご紹介していきたいと思います。

藏本:近年のセキュリティはマーケティングと同様の流れを踏襲し、マーケティングが対象を選ばない「マスマーケティング」から、顧客をセグメント化し、ターゲットを狙う「ターゲットマーケティング」へとシフトしてきたように、セキュリティも攻撃対象を選ばないマス向けの攻撃から攻撃対象を絞るターゲットアタックへとシフトしてきています。その結果、境界領域防御のみによる防御の破綻等、これまでの対策が通用しない時代に突入したと言えます。

 これからは、コストを抑えながらも、より効率的で、より精度の高いセキュリティ対策が求められます。そのためには、セキュリティ対策のアプローチの見直しや脅威の正確な把握が必要となります。今回、我々5人で様々な角度から執筆しましたが、それぞれの内容が皆様のセキュリティ対策の一助となれば幸いです。

小野寺:昨今のセキュリティは今まで以上に現実社会に影響を与え、複雑化し、日々新しい手法で被害が報道され、対応を求められています。

 しかしながら、従来の手法への対応や、セキュリティ上推奨される事項の実施状況を振り返っているでしょうか?今まで、いくつかのセキュリティ事故に関わる機会がありましたが、新しい手法への対処が必要だったケースは多くはありませんでした。

 従来の手法への対処が不十分であったり、行ったはずの対策がシステムやビジネス状況の変化によって形骸化していたりしたことで事故に発展しているケースの方が多かったと感じており、セキュリティは王道といわれる対策をどれだけ確実に実施し、維持するかが肝要だと再認識させられました。

 今回の連載が、多層防御の観点で対策が十分であるかを振り返っていただく機会になってくれれば幸いです。今後も対策の普及とそれを阻害する様々な問題の排除のお手伝いに努めていきます。

 



著者プロフィール

  • 高橋 正和(タカハシ マサカズ)

    日本マイクロソフト株式会社 チーフセキュリティアドバイザー 日本マイクロソフト株式会社のチーフセキュリティアドバイザーとして、製品やサービスの セキュリティ対するマイクロソフトの取り組みを日本に紹介するとともに、日本のユーザーからの 要望を反映させるべく取り組んでいる。基本ソフトの開発、品質管理を...

  • 香山 哲司(カヤマ サトシ)

    情報セキュリティ株式会社(iSEC)執行役員情報セキュリティ事業本部長 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤...

  • 蔵本 雄一(クラモト ユウイチ)

    日本マイクロソフト株式会社 ビジネスプラットフォーム統括本部 前職でアンチウイルスソフト等の開発に携わった後、2005年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、セキュリティエンジニアとして、主に大規模な顧客環境のセキュリティ向上活動に従事。プログラミングやハッキングと...

  • 小野寺 匠(オノデラ タクミ)

    日本マイクロソフト株式会社 グローバルビジネスサポート シニア プレミアフィールド エンジニア 日本マイクロソフト株式会社にて、グローバルビジネスサポートに所属し主にプレミア サポート契約顧客環境のセキュリティを、これまでの経験等から得られた知見に基づいたアセスメントの実施、設計・実装支援、意識向...

  • 村木 由梨香(ムラキ ユリカ)

    日本マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュ...

バックナンバー

連載:間違いだらけのサイバー攻撃対策

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5