●TMがセキュリティ大会を主催する理由トレンドマイクロがセキュリティイベント「Trend Micro CTF Asia Pacific & Japan 2015」を開催する。8月22~23日のオンライン予選を経て、11月21~22日には決勝戦を開催。優勝チームには賞金100万円と、世界規模の同種イベント「HITCON CTF 2015 Final」の出場権が得られる。こうしたイベントの開催は同社でも初めての取り組みだが、なぜ今回、CTFイベントを主催したのか。同社の運営責任者である染谷征良氏に話を聞いた。○セキュリティ大会は世界各国で行われているCTF(Capture the Flag)はセキュリティ技術や知識を競う競技大会。出題に対して回答するテスト形式の問題やチーム同士でハッキングとその防御で競い合う攻防戦(アタック・ディフェンス)方式の競技などを経て勝者を決めるといったもので、現在は世界中で同様の競技が実施されている。今回、トレンドマイクロが主催するCTFは、アジア太平洋地域と日本在住者を対象としたもの。オンラインで実施されるテスト形式の予選を勝ち上がったチームで、攻防戦方式の競技を行って勝者を決める。予選は誰でも挑戦できるが、決勝戦に進めるのは対象国の10チームだけだ。決勝戦では宿泊費はトレンドマイクロが負担するが、移動の交通費は自腹。CTF自体はすべて自腹のイベントも多く、特別なことではないようだ。トレンドマイクロのCTFは初開催ということでまだ無名だが、歴史のあるHITCON CTFとの連携が大きなポイントとなる。決勝戦の参加資格が得られる点や、優勝賞金が100万円と比較的高額である点はインセンティブになると見ており、多くの参加を期待しているという。世界中のCTF情報を集めているポータルサイトCTF TIMEでもポイントを獲得できるので、こうしたインセンティブは世界中のCTFと比べても「魅力的だと思う」と染谷氏は強調する。●日本のセキュリティ技術者育成をそれに続けて「ここ数年、ITの環境も変わってきており、サイバー攻撃も活発化して、問題が深刻化している」とも指摘。こうした状況で、トレンドマイクロとして「安全なインターネット社会、IT社会の実現に貢献することはできないか」と検討した結果、今回のCTFの主催を決めたのだという。トレンドマイクロは日本企業のため、対象国を日本とするとともに、アジア太平洋地域でCTFに対する認知度、参加者が上昇していることもあり、今回はアジア太平洋地域も対象に加えているという。CTF自体は、高度な技術者をターゲットとしているため、問題も「簡単に解かれては困る」(染谷氏)という観点で、同社のセキュリティ技術者などが作成している。一般的な暗号化やパケット解析といったもの以外にも、標的型攻撃や仮想化など、同社が注力する分野の設問も盛り込む予定で、「バランスよく設問は分けている」そうだ。問題作成にあたっては、サイバー大学 教授の園田 道夫氏をはじめ、海外のCTFにも参加しているセキュリティ専門家など外部の協力も仰いでいるという。日本はセキュリティ技術者が不足しているという指摘もあり、経済産業省などが音頭を取って、「セキュリティ人材の確保に関する研究会」が開催されるなど、急ピッチで人材育成への取り組みが始まっている。IPAでは、情報処理技術者試験、ITパスポート試験、セキュリティ・キャンプなどを実施して、人材育成を図っているが、コレに加えてセキュリティマネジメント人材のための資格試験も新設される予定。染谷氏自身は、国内での人材育成のために資格を創設するのは有効な手段ではあるとしつつ、「人を増やしても活躍できる場がなければ意味がない」と指摘する。●問題は育成のその先の"場所"実際、トレンドマイクロが調査すると、民間企業や官公庁などの組織でセキュリティ専任の人・部隊があるのは30%前後しかなく、IT担当者がセキュリティを担当していたり、「社内で一番パソコンに詳しいから」という理由でセキュリティ担当をしている例もあったそうだ。そもそも経営層などの意志決定権を持つ人の間で、サイバー攻撃などのインシデントが経営リスクとして認識されていないという問題があると染谷氏。組織内でリスク認識が低いところほど、実際のセキュリティ対策レベルが低いという結果も出ており、染谷氏は「いかに経営層にセキュリティの重要性を理解してもらうか、トレンドマイクロとしても重要視して取り組んでいる」と話す。セキュリティ技術者が活躍できる場を提供できないと、そうした技術を持つ人が犯罪に走る可能性もある。実際に東欧ではこうした例もあって、単に人材の育成を図るだけでなく、きちんと活躍できる場所も提供する必要があると染谷氏は語る。トレンドマイクロは、人材育成の一環としてのCTFの開催に加え、セキュリティ・キャンプ、SECCONへの協賛などを展開しつつ、スキルのある人材が活躍できる場を作るために、官民での連携も図りながら今後継続した取り組みを続けていきたいとしている。そのためにも、染谷氏はTrend Micro CTFを「中長期的なイベントとして拡大していきたい」と計画。「CTFを技術力を高めていく場として参加して欲しい」として、今までCTFに参加したことがない人にも訴求していきたい考えだ。
2015年08月19日ジグソーは8月17日、サイバーセキュリティ分野に進出することを発表した。第一弾として「Auto Shutdown Service」を9月より提供する。このサービスでは、サイバー攻撃などによる情報漏洩リスクに対して、侵入自動検知・自動シャットダウン・自動通報・自動処理の一連の流れをロボット型ソフトウェアによってシームレスに制御する。侵入を許した場合には、即時にシステムの停止やネットワークを遮断し、指定された宛先に自動的にメッセージとコールで通知するとともに、あらかじめ決められた対処までを自動で行う。これは、侵入が意図したものであるか否かの判断を待たず、情報管理・保全を最優先する処置で、個人情報や機密情報の漏洩を最大リスクとして捉え、その漏洩リスクを最小限に留める。また、侵入の証拠保全、影響範囲の特定までの迅速化、Linuxカーネルレベルの技術をベースにしたファイル改竄検知を視野に入れており、情報漏洩の極小化とその後の迅速な対応に大きく寄与するとしている。
2015年08月18日GMOクラウドは、GMOクラウド ALTUS(アルタス)シリーズにおいて、セキュリティを強化するソリューションの販売を開始した。提供するのは、「攻撃を防ぐ」「脆弱性を診る」「ウイルスを駆除する」という3つの特長に合わせたセキュリティソリューション。「攻撃を防ぐ」では、SaaS型WAFサービス「Scutum(スキュータム)」とSaaS型IPS・WAFサービス「攻撃遮断くん」を提供。「Scutum」はエージェントのインストールが不要で、最短3日間で導入できる。一方「攻撃遮断くん」は、Webアプリケーション、Webサーバ、OSレイヤーまでの防御が可能で、最短2日間でエージェントをインストールするだけで導入できる。「脆弱性を診る」では、「ZETA Security Site Scan」、「SCT SECURE」、「セキュリティ診断」の3つの脆弱性診断を提供。「ZETA Security Site Scan」では、ネットワーク/OS(ポートスキャン、バックドア脆弱性の確認等)向けの「SiteScan2.0」、Webアプリケーション(SQLインジェクション、クロスサイトスクリプティング等)向けの「WebSiteScan」、ネットワーク/OS/Webアプリまで幅広く診断する「WebSiteScan Pro」の3タイプより選択可能。「SCT SECURE」では、既知の脆弱性約10,000項目、攻撃シナリオ5,000項目をチェック。追加のハードウェアやソフトウェアを導入する必要はなく、5営業日で開始可能。そして、「セキュリティ診断」では、自動ツールのみならず、セキュリティの専門家の「手」と「目」を介して、攻撃者の視点から様々な疑似攻撃を診断する。「ウイルスを駆除する」では、アンチウイルス 「F-Secure(エフセキュア)」を提供。Linux上で動作するウイルスだけでなく、Windowsのウイルスも検出できる。なお同社では、GMOクラウド ALTUSとセキュリティソリューションを同時に申し込むと抽選で、システム管理者の心と体を癒すグッズをプレゼントする『システム管理者感謝の日』夏のプレゼントキャンペーン実施中だ。
2015年08月17日日本年金機構からの情報流出事件で攻撃に使われたのが「Emdivi」と呼ばれるマルウェア。年金機構の事件で話題になったが、各セキュリティベンダーの調査では、長期間にわたって活動していたマルウェアで、特に「日本を狙った攻撃」であることが特徴とされる。特定の組織を狙った標的型攻撃だったため、これまでセキュリティソフトに検出されにくかったようだが、こうしたEmdiviのようなマルウェアを悪用したっ標的型攻撃も「事前に検出可能だった」と主張するのが、FFRI 社長の鵜飼 裕司氏だ。こうした標的型攻撃を同社の製品がどうして検出できるのか、話を聞いた。○年金機構を襲ったマルウェア「Emdivi」を検知できた「FFR yarai」FFRIは、企業向けメインのセキュリティソフト「FFR yarai」を提供する。このyaraiは、特に標的型攻撃に対して威力を発揮する製品として、国内で40万台超のPCで稼働しているという。このFFR yaraiに対して、同社が入手したEmdiviの検体で試験をしたところ、攻撃をブロックできたという。FFR yaraiは2009年にリリースされたセキュリティソフトだが、当初より鵜飼氏は、従来のパターンマッチング型のマルウェア対策には限界があると考えていた。パターンファイルを使って、マルウェアと照合する方法は、マルウェアが少しでも変更されると検知できず、亜種が増えれば増えるほど、パターンファイルの量が膨大となり、システム負荷も高くなり、効率も悪くなる。標的型攻撃は、特定の組織を狙ってカスタマイズされているため、検体を入手しづらく、その検体からパターンファイルを作成するため、検体が手に入らなければ検知もできない。こうしたパターンファイルの弱点を補完する形で、FFRIが研究してきたのがヒューリスティックによる検出方法で、「メタな情報に着目して、怪しさを判別して検知するようにした」(鵜飼氏)ものが FFR yaraiのベースとなっている。FFR yaraiのポイントは、この"怪しさの定義"で「黒(マルウェア)を黒と見分ける技術」が重要になるという。FFR yaraiに搭載されている技術は5つのヒューリスティックエンジンで、「いろいろな専門的な立場でプログラムを分析」してマルウェアを検知する。Adobe Readerなどの脆弱性を悪用する攻撃は「ほぼ止められる」としており、USBメモリ経由やEXEファイルのまま送られるような場合でも、5つのエンジンのいずれかがブロックするそうだ。鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。○FFR yaraiの独自エンジンとは?このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」というわけだ。そのロジックを組み込んでおけば、攻撃者がその攻撃手法を開発したとしても、すでに対応できるようになっている。鵜飼氏は、「攻撃技術に関する研究は大事であり、彼ら(攻撃者)を後手後手にしていくのが重要」と話す。こうした結果、2009年以降「連戦連勝」だという。標的型攻撃は、官庁などの政府系組織から大手企業をはじめ、さまざまな企業が狙われている。特定の業種業態だけが狙われているわけでもないため、企業などは狙われる前提で対策を取る必要があるだろう。それについて鵜飼氏は、「自分たちの組織が今どうなっているのか、可視化するのが重要」と指摘する。そのためには、セキュリティ企業の診断サービスを受けることもできるし、FFRI自身もそうしたサービスを提供している。とはいえ、「コストを抑えて把握する方法はある」と鵜飼氏。FFR yaraiは無料評価版も配布しているため、これを使うことで「少なくとも現状はわかる」という。こうしたツールを使うことで、まずは現状を把握し、例えばすでに狙われている場合もあるだろうし、組織内の弱点がわかれば、改めてセキュリティ強化の対策につなげることができる。○東京五輪がセキュリティに及ぼす影響は?将来的な攻撃において、鵜飼氏が懸念しているのは、2020年の東京五輪だ。「IoTオリンピックとも呼ばれている」と語るが、その頃にはさまざまなIoTデバイスが市場に出まわっている可能性は高い。それに対して、「問題は、どんなIoTが広まっているか」と鵜飼氏。将来が予測しづらいために、鵜飼氏も「いろいろ考えなければならないことが多い」と苦笑する。鵜飼氏は、総務省でのセキュリティ対策のための会合にも参加しつつ、予測をして、対策を考えていく。「スマートフォンオリンピック」と呼ばれたロンドン五輪は、さまざまなサイバー攻撃があったものの、「取りあえず乗り切った」。それがさらにIoTオリンピックになると「どこの国も経験したことがない状況になるため、世界からの攻撃が集まる可能性があるとして、「現実的なコスト感で、かつITがフルに利活用できるような状況を、我々セキュリティ屋さんも考えていきたい」としている。○Windows 10はセキュリティの分水嶺また、Windows 10について、鵜飼氏は「普及する可能性がある」とコメント。Windows 8から大きなセキュリティ上の変化があり、Windows Defenderが標準搭載された点をポイントとして挙げる。パターンマッチング型のマルウェア対策がOS標準で入り、それがWindows 10でも同様に標準搭載されることになるため、これを搭載したWindows 10が普及することで、パターンマッチング型のマルウェア対策がそれでカバーできるようになるとみている。一方で、ヒューリスティック型の対策を得意とするセキュリティベンダーが海外でも幾つか出てきており、今後はパターンマッチング型のマルウェア対策と入れ替わっていくことが予想される。しかしながら鵜飼氏は、「エンドポイントでこうした商品を出したのは、世界でも一番早かったと思っている」という開発の蓄積と技術力に自信を見せ、「他社とはけっこう差が開いている」とも話していた。
2015年08月12日マカフィーは8月7日、同社のブログで、AppleのiOS 9に搭載される複数の新しいセキュリティ機能に関する紹介記事を公開した。新機能のなかでも4つは注目に値し、ユーザーの毎日のセキュリティ対策を改善する非常に重要なものだという。1つ目はパスコードだ。iPhone登場以来、4ケタのパスコード(個人識別番号)を活用してデバイスにロックをかけてきたが、4ケタのコードは1万通りの組み合わせしかなく推測が容易であるため、徐々に対応が難しくなってきている。iOS 9ではパスコードを6ケタにすることで、100万の組み合わせが利用できるようになり、クラッキングは今よりはるかに困難になる。2つ目は2段階認証。2段階認証は、デバイスへのアクセスの認証に、ユーザーの知っていること(パスワードなど)と、所有しているデバイス(スマートフォンなど)の2つを使用するもので、同社はこれまでも利用してきた。iOS 9では、iTunesでの購入や新しいデバイス/Webブラウザからのログインでも2段階認証を有効にし、2段階認証ソリューションをエコシステム全体で活用しようとしているようだという。ユーザーがパスコードまたは指紋を提示し、その後デバイスに送信されるPINを入力するこのシステムは、手間は増えるものの、ハッカーと悪質コンテンツに対する強力な抑止になり、セキュリティ向上に資するものだという。3つ目は仮想プライベートネットワーク。iOS 9では、仮想プライベートネットワーク(VPN)を強化し、パブリック・ネットワークを介したWebブラウジングとサービス通信の安全性を高めている。保護されていないパブリックWi-Fiを利用している場合、ハッカーはメールやソーシャルネットワークを介して容易にユーザーのモバイル通信に入り込むが、この新機能は、そのような脅威からのユーザー保護に大いに貢献するそうだ。4つ目は広告ブロック。iOS 9では開発者に広告をブロックする拡張機能の作成を許可するので、ユーザーはモバイル・デバイスの使用中にWeb内で大量の広告を目にする必要がなくなるかもしれないという。モバイル広告は迷惑なだけでなく、悪質なソフトウェアの配信に使用されることもあるため、Appleは、悪質な広告をフィルタリングし、ブロックすること自体を開発者に許可することで、より安全なモバイル基準を打ち立てる考えだ。Appleは、上記の機能以外にもiOS 9のプラットフォームのいくつかのセキュリティ機能を改良。マカフィーは、「世界で最も人気の高いオペレーティングシステムの1つにこうしたセキュリティ改良が加えられたこと自体が、より安全な世界に向けた大きな一歩と言える」とし、今後さらに多くの改良が見られることを期待するとしている。
2015年08月10日日本電気(NEC)は6日、顔認証によるPCログオンや、ログイン中の利用者の常時監視が可能なPC用セキュリティソフト「NeoFace Monitor」を強化した「NeoFace Monitor V2」を発表した。販売は8月20日を予定している。「NeoFace Monitor V2」は、NECの顔認証エンジンをベースにしたセキュリティソフト。カメラに顔を向けるだけで行える顔認証と、重要情報の運用管理に便利な常時監視機能により、セキュリティを高めている。V2では、認証に失敗した人物の顔画像記録をログとして残すことができ、非登録ユーザーであったのか、単なる認証ミスであったのかといった理由が確認できる。また、NECの統合型PCセキュリティソフト「InfoCage PCセキュリティ」とも連携でき、ディスクの暗号化や周辺機器の利用制限なども行なえる。このほか、顔画像の登録やユーザー情報の変更といった、これまでは管理者のみに与えられていた権限を、一部他ユーザーに委譲することも可能。こうした作業負荷の分散で、大規模ソリューションでの柔軟な運用が可能となっている。同社は「NeoFace Monitor V2」で官公庁や企業の情報セキュリティをさらに強化し、情報社会における安全なビジネス環境の構築に貢献したいとのこと。価格は税別でクライアント用が15,000円、認証サーバ用が150,000円、AD(Active Directory)サーバ用が150,000円(いずれも税別)。
2015年08月10日SCSKは8月7日、金融機関向けクラウドサービス対応セキュリティリファレンスとして、Microsoft社のクラウドサービスである「Microsoft Azure」対応版を、SI事業者など6社と共同で作成し、同日より公開した。同リファレンスは、Microsoft Azureに関して、金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準」の第8版追補改訂の各項目に対する対応状況を調査したもの。調査は、SCSK、三菱総合研究所、日本ビジネスシステムズ、トレンドマイクロ、電通国際情報サービス、三菱総研DCSおよび日本ユニシスが実施し、FISC安全対策基準の各項目(138の設備基準、120の運用基準、53の技術基準)のそれぞれについて確認・整理した。セキュリティリファレンスは、同社のWebサイトから、ダウンロードすることができる。
2015年08月07日る情報セキュリティ対策について説明した。情報処理推進機構(IPA)は8月4日、「長期休暇における情報セキュリティ対策:IPA 独立行政法人 情報処理推進機構」において、長期休暇時における情報セキュリティ対策について説明した。【組織のシステム管理者向け】(長期休暇前対策)緊急時連絡体制の確認休暇中に使用しない機器の電源OFF(長期休暇後対策)各種ソフトウェアの最新の修正プログラムを適用セキュリティソフトウェアの定義ファイルの更新サーバなどにおける各種ログの確認【組織の利用者向け】(長期休暇前対策)機材を持ち出す場合には持ち出しルールを確認休暇中に使用しない機器の電源OFF(長期休暇中対策)持ち出しした機器やデータの厳重な管理(長期休暇後対策)各種ソフトウェアの最新の修正プログラムを適用セキュリティソフトウェアの定義ファイルの更新持ち出した機器やデータをセキュリティソフトでウイルスチェック【家庭の利用者向け】(長期休暇中対策)公衆無線LAN使用時の確認(https通信を使っているかどうか)外出先でのSNS投稿への注意(長期不在であることを示唆してしまう可能性など)SNSのやりとりに関するトラブルへの注意(長期休暇後対策)各種ソフトウェアの最新の修正プログラムを適用セキュリティソフトウェアの定義ファイルの更新長期休暇時もサーバなどを稼働させていた場合、通常と同じようにサイバー攻撃などのリスクにさらされていることを認識するとともに、インシデント発生時に適切に対処できる体制を整えておくことが望まれる。
2015年08月06日情報処理推進機構(IPA)は8月4日、長期休暇における情報セキュリティ対策に関する記事を公開した。長期休暇の時期は、「システム管理者が不在になる」など、いつもとは違う状況になりやすく、ウイルス感染や不正アクセス等の被害が発生した場合に適切な対処が遅れる可能性がある。また、SNSへの書き込み内容から思わぬトラブルが発生するなど、関係者に被害が及ぶ可能性があるので、そのような事態とならないよう実施してほしい対策を提示している。組織の管理者向けの長期休暇前の対策としては、不足の事態に備えて、緊急連絡体制の確認。長期休暇中に使用しないサーバなどの機器の電源をOFFにすることを推奨している。さらに、長期休暇明けには、OSや各種ソフトウェアの修正プログラムを確認し適用すること、休暇中電源をきっていたパソコンはセキュリティソフトの定義ファイルを更新すること、サーバーなどに対する不審なアクセスがないか各種ログを確認し、不審なログを見つけた場合は早急に対応することをすすめている。組織の利用者に対しては、長期休暇前には機器やデータの持ち出しルールを確認し遵守し、休暇中使用しない機器は電源をきっておくことが大切だとしている。休暇明けには、修正プログラムや定義ファイルの確認と適用、また、持ち出していた機器のウィルスチェックをすすめている。家庭の利用者に対しては、多くの場所で提供されている公衆無線LANを利用することで、不正に設置されたアクセスポイントに接続したり盗聴されることで第三者に通信内容を知られる可能性があるので、第三者に知られては困る情報の場合はSSLで暗号化されていること(ブラウザのアドレスが「https」で始まる)を確認するよう注意している。また、行楽のための外出前や出先でのSNSの投稿内容によっては、長期休暇で不在であることが知れ渡る可能性があるだけでなく、投稿した写真から位置情報が知られて他者のプライバシーを侵害し、トラブルになることもあるので、投稿内容や範囲に気をつけることが大切だ。ほかにも、SNSで知り合った人物からインストールすすめられたアプリを利用してプライベートな動画などを撮影したことが原因で、セクストーション(性的脅迫)被害にあうケースが発生していることから、第三者に見られたら困る写真や動画を撮影させたり、そのデータを送らないように注意している。
2015年08月05日Facebookは7月30日、アカウントのセキュリティ管理ツール「Facebookでのセキュリティを強化」を発表した。セキュリティ管理ツールは、Facebookの利用者がアカウントのセキュリティを強化する方法をまとめたツール。利用者は管理ツールの指示に従い、自分で設定を行う。具体的には、Facebookにログインした状態で1カ月以上使用していないデバイスがあれば、まとめてログアウトできる。管理ツールではログインしているデバイスの台数が管理され、デバイスの台数を確認し、不要と感じたら即ログアウトできる。次に、自分のアカウントを他人がログインした場合に自動通知を出す「ログインアラート」機能の設定だ。アラートを有効にすると、万一他人にアカウントを乗っ取られた場合、登録したメールアドレスなどに通知できる。もう一つが、パスワードの保護だ。他人にパスワードを見破られないためのヒントを紹介している。保護画面から新しいパスワードへの変更もできる。Facebookのデスクトップ版はヘルプセンターにアクセスすればすぐに管理ツールを利用できる。モバイルアプリ版は近日中の公開を予定している。
2015年08月03日ハミングヘッズは、個人向けセキュリティソフト「Defense Platform Home Edition」(DeP HE)がWindows 10に対応したことを発表した。初心者向けの新機能も同時に追加される。無償版のDeP HEにも同様のアップデートが適用される。今回のアップデートによって、DeP HEに追加される新機能は、PC初心者向けの「全止機能」と「アドバイス機能」の2つ。「全止機能」は、PC上の疑わしいプログラムをすべて止める機能。既存製品では明らかに危険なプログラムのみを自動で止めていたが、疑わしいプログラムも停止する。これまでは法人向け製品「Defense Platform Business Edition」のみの提供だったが、個人向け製品にも搭載されることとなった。「アドバイス機能」は、DeP HEが疑わしいプログラムを停止した場合に表示する「警告パネル」を初心者やさしい表現で解説するものだ。なお、法人向け製品である「Defense Platform Business Edition」のWindows 10対応は、8月中旬を予定している。
2015年07月29日「アンチウイルスソフトは死んだ」2014年5月に、当時、米Symantecの上級副社長だったブライアン・ダイ氏が発したとされるこの発言は、当時のセキュリティ業界において大きな話題を呼んだ。近年では、相次ぐ個人情報漏えい、マイナンバー制度の導入、そして東京オリンピック・パラリンピックを標的としたサイバー攻撃の可能性など、情報セキュリティに関する話題は尽きることがない。これまでアンチウイルスソフトはサイバー攻撃に対する防御の要とも呼べる存在だった。果たして本当に「アンチウイルスソフトは死んだ」のか。もしそうならば、年々増加の一途をたどるサイバー攻撃の脅威にどう対処すべきか。本記事では、株式会社シマンテック エンタープライズセキュリティ事業統括本部 技術戦略部の七戸 駿氏に話を伺い、その発言の真意とこれからのサイバーセキュリティについての見解をお伝えする。○世界で同時進行するサイバー攻撃活動は800~900。一度では終わらない標的型攻撃近年、多発する標的型攻撃メールによる情報漏えい事件。特に、2015年5月に発生した日本年金機構における個人情報の漏えいは、その被害の大きさによって大きな注目を集めた。また、報道などによって情報漏えいまでの経緯が公表されるにつれ、典型的とも言える標的型攻撃の手法が明らかにされた。「今回のケースを見てもわかる通り、標的型攻撃では一度の攻撃に依存していることは決してありません。最初の攻撃が防げばそれで終わりではなく、相手の様子をみて計画的な第二波、第三波をしかけていく。そしてそれを繰り返す。これが近年の標的型攻撃の最大の特徴です」(七戸氏)例えば、最初の攻撃には囮となるマルウェアAを使って侵入をしかけて相手の防御反応を見る、反応が脆弱なものなら本丸のマルウェアBを使って確実に侵入する。侵入したらさらにステルス性の高いマルウェアCを呼び込み、組織ネットワークの中をゆっくり支配していく。七戸氏によると近年の標的型攻撃の場合、こうして作戦立てられたオペレーションが世界で800-900は発生しているとのことである。「最近の標的型攻撃と推測されるものは、ほとんどが組織的に行われています。業界ごとにチームを分けて、まるで会社における事業部のようにそれぞれ目標を定め計画的に活動を行っています。ですから、一度侵入を防いだとしても、決して安心はできません」(七戸氏)○前科を持つモノしか捕まえられないアンチウイルスソフトの限界次々と生まれてくる新種のマルウェア。現在では、全世界で生み出される新種や亜種のマルウェアは、1日に100万とも言われている。昨年だけで3億を超えるマルウェアが生まれており、これは地球上の生物種をはるかに超える速度で増殖し進化している。これまで、これらマルウェアを発見する役割を担う存在がアンチウイルスソフトだった。だが七戸氏は既存のアンチウイルスソフトでは、現在の標的型攻撃を防ぐことは難しいと語る。「アンチウイルスソフトという概念は、基本的に定義ファイルのパターンと照らし合わせる方法でマルウェアを発見します。言い換えれば、前科のある指名手配犯しか見つけられません」全世界に向けて無作為にばら撒かれたマルウェアなら、被害を受ける前に指名手配のリストを入手することもできるだろう。だが、特定のターゲットに侵入することを目的として作り出されたマルウェアの場合、侵入される前に指名手配のリストに載ることは極めて少ない。そもそも、定義ファイルと照らし合わせるアンチウイルスの仕組みは、インターネットの黎明期から利用されてきたものだ。すでに攻撃側が企業の防御速度を遥かに上回って進化するサイバーセキュリティの世界で、このような旧態依然の技術だけに依存することはもはや通用しない。「これからはウイルス単体を標的としたアンチウイルスではなく、攻撃のオペレーション全体に対抗するアンチサイバー攻撃でなければなりません。そのためには、前科を持つモノだけではなく初犯をどのように捕まえるか、例えば様々な箇所で囮捜査を連携して行って不審な動きをするモノを見付け出すような、そんな仕組みが必要です」(七戸氏)○パスワードによる認証にも疑問符アンチウイルス以外にも、セキュリティ的に時代遅れと指摘されるものがある。それがIDとパスワードを使用した個人認証だ。IDとパスワードは、それを利用する本人のみが知っていることが大前提である。だが現実は、すでに数多くのパスワードが流出してしまっている。七戸氏によると、その数は「世界平均では毎年少なく見積もっても5億以上」は流出しているだろうとのことだ。たとえ流出してしまっていても、サービスごとにパスワードを変更していれば被害は広がらない。だが現在では、IDとパスワードが必要な場面は無数に存在する。それら全てについて異なるものを用意することは現実問題として不可能に近い。「そもそもアンチウイルスやネットワーク型のセキュリティセンサーなどシステマチックに脅威を検出するアプローチと比較して、IDとパスワードは管理や強度をユーザーのリテラシに依存するセキュリティです。しかし、全てのユーザーが利用しているアカウントの認証強度を全て十分に確保しておくことは難しい。本気で自社の顧客保護や社員保護を考えるのであれば、企業は責任をユーザー任せにしないで、IDとパスワード以外の認証も考えていくべきでしょう」(七戸氏)その代表的な例が、特に金融機関において導入が進んでいる多要素認証や生体認証である。「お客様の大切な情報を守るために何をすべきか。お客様の情報に何か被害が起これば自社の評判にどのように影響するのか。日本の金融機関の自らのビジネスモデルに対するリスク意識は特に高いものがあります。アンチウイルスと同じく、もはやパスワードも死んでいると言っても過言ではないかもしれません。今後は金融機関以外の分野にも、「パスワードには引退してもらう」という方針や、この考え方が進んで行くのではないでしょうか」(七戸氏)○守るべきはシステムではなく情報、変えるべきは対策ではなく体制アンチウイルスソフトなども含め、もはや既存の技術では、サイバー攻撃を防ぎきることが難しい状況となっている。そんな現在において、今後の情報セキュリティはどうあるべきか。その問いに対して、七戸氏は「大きく2つの考え方があります」と答える。一つは「脅威の阻止」。これは、いわば既存の方法であり、具体的には如何にして侵入を防ぐかということになる。ただ、執拗に繰り返される標的型攻撃を完全に防ぎきることは非常に難しい。そこでもう一つの考え方である「情報の保護」が重要となる。これは言い換えれば、たとえ侵入されたとしても「本当に大切なものについては守りきる」ということである。具体的な例を挙げるなら、重要データを物理的な隔離措置で守るいわゆるエアギャップ対策を行うなら、隔離されたシステムで業務が完結できるレベルまで必要投資を行う、隔離できないならデータ自体を検出できるデータ漏えい防止センサーを使って外部への流出を止める、そうした措置が難しいのであれば、重要な情報ファイルは全て暗号化を徹底する、などの方法が考えられる。だが、どれだけ対策を講じたとしても、結局それを運用するのは人である。「ですからまず一番にやるべきことはビジネスに責任を持つ社員の意識改革です。標的型メールは業務中に開いてしまうことも十分にあり得ます。大切なのはその後です」(七戸氏)マルウェアに感染した場合、最も標準的な方法と広く認識されているのはネットワークそのものを切断してしまうことだ。ただし、それは感染したPCだけではなく、会社全体のネットワークを外部から切り離し業務の中断や事業継続性のリスクを受け入れることになる。そして、そのような重要な判断は経営レベルでなければ下すことは不可能だ。もし、そのような事態になった時、即座に経営レベルの判断が下せるような計画と体制、その訓練を整えておくこと、それが重要なのだ。「火事が起きないように、火元に気をつける。と同時に、火事が起きた時のために消火訓練や避難訓練を行う。サイバー攻撃への対策も同じです。侵入されないための対策と、侵入された後の対策、その両方が大切なのです」(七戸氏)
2015年07月27日ウォッチガード・テクノロジー・ジャパンは7月23日、同社のネットワーク・セキュリティ可視化ツール「WatchGuard Dimension」を機能拡張し、さらなる多様な可視化と管理機能の向上を実現したという「同2.0」を発表した。今回のリリースではプレビュー版として複数のネットワーク制御機能を新たに追加しており、ネットワークの可視化により得られるインテリジェンスを生かすことで、IT管理者は課題に対して迅速に対応可能になるとしている。同製品は、ユーザーのネットワークに導入済みの同社製アプライアンス全てからデータを収集し、各種の可視化画面により脅威の抑止に役立つインテリジェンスへ変換するという。今回発表した機能拡張では、可視化能力とパフォーマンス性能の向上、詳細なシステム・ヘルス・レポートに加え、監視機能を備えるサイバー・ローフィング(ネットの私的利用)ダッシュボードを新たに追加した。また同製品はセキュリティ・リスクの洗い出しに加え、IT管理者がセキュリティのリスクを軽減するためのアクションを迅速に実行できるよう支援するとしている。さらに、2015年内にリリースを予定している同製品のプレミアム追加オプション「Dimension Command」では、ネットワーク制御とセキュリティ構成を容易に実行可能になるという。今回のリリースでは、ワンクリック構成変更、以前の構成に戻す「jump back」、Web UIやVPN管理ツールから各アプライアンスへのダイレクト・アクセス機能などを含む、新たな制御機能のプレビュー機能を提供する。同製品は、同社の統合脅威管理(UTM)および次世代ファイアウォール(NGFW)製品を使用するユーザーに無償で提供しているが、サポート・サービスは有償となる。新機能は、有効なサポート契約を所有し、「Fireware」バージョン11.10.1もしくはそれ以降のバージョンを利用中のユーザーが利用できる。
2015年07月24日日本マイクロソフトは7月21日(日本時間)、Windowsの全バージョンを対象とした緊急セキュリティ更新プログラムを公開した。このプログラムは、OpenType フォント ドライバーの脆弱性「CVE-2015-2426」を解消するもの。Windows Adobe Type Manager Libraryが特別な細工がされたOpenType フォントを不適切に処理した場合、Windowsにリモートでコードが実行される脆弱性が発生し、この脆弱性が悪用されると、コンピュータが完全に制御されるおそれがある。攻撃者がこの脆弱性を悪用する方法として、「特別な細工がされた文書を開かせる」「埋め込まれたOpenTypeフォントを含む信頼されていないWeb ページに訪問させる」といったことが考えられるという。同社は、このセキュリティ情報が最初に公開された際、この脆弱性が一般に公表されたことを確認していたが、攻撃に関する情報は受け取っていなかったが、解析により、悪用コードが作成されて攻撃者が安定的に脆弱性を悪用する可能性があると評価している。同社は、ユーザーの状況次第で役立つ回避策としていくつか紹介している。1つは、コマンドプロンプトを用いてATMFD.DLLの名前を変更する方法だ。もう1つは、Windows 8以降のシステムで、レジストリエディタを用いてATMFDを無効にする方法だ。ただし、レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあるので、注意が必要だ。回避策を行うと、埋め込みフォントに技術的に依存するアプリケーションでは表示が不適切になり、ATMFD.DLLを無効にすると、OpenType フォントを使用している特定のアプリケーションが正常に動作しなくなる可能性があるという。
2015年07月21日NTTコミュニケーションズ(NTT Com)は、米パロアルトネットワークス、米ブルーコートシステムズおよびデジタルアーツの各社のセキュリティ機器との連携により、未知のマルウェア(ウィルス)を検出する「WideAngleマネージドセキュリティサービス リアルタイムマルウェア検知(RTMD)」の通信遮断機能を強化し、7月18日から提供開始する。価格は個別見積り。今回の機能強化は、迅速さと高精度が主な特長。迅速さでは、パロアルトネットワークス製エンタープライズ・セキュリティ・プラットフォームの次世代ファイアウォールと連携し、マルウェアの疑いのあるプログラムの外部向け通信を平均8分(最大15分以内)で自動遮断する。また、ブルーコートシステムズ製のプロキシ・サーバ、およびオープンソースであり同じく多用されているというSquidによるプロキシ・サーバとも連携し、平均10分で自動車ダンする(最大20分)。さらに、デジタルアーツ製Webフィルタリング製品「i-FILTER」への対応も可能となり、より多くのユーザー企業のICT環境において防御機能を実現するとしている。高精度では、自動遮断開始と並行して2時間以内に、外部の通信先が真の攻撃者か否かの真偽判定・分析をセキュリティ・アナリストが行い、真の攻撃者であるという結果が出た場合、完全遮断へ移行、問題が無ければ遮断解除を行う。新機能は当面、WideAngleマネージドセキュリティサービス リアルタイムマルウェア検知(RTMD)の個別オプションとして提供する。2015年9月には標準オプションとして提供開始の予定だ。
2015年07月21日トレンドマイクロは7月15日、セキュリティ技術の知識や実践力を競い合う競技大会「Trend Micro CTF Asia Pacific & Japan 2015(Trend Micro CTF)」を開催すると発表した。トレンドマイクロはインターネットセキュリティのリーディングカンパニーとして、本大会を通じて、インターネット社会全体の技術力向上を目指す。大会では、「標的型サイバー攻撃」「IoT」「制御システム」などのカテゴリに関する問題が出題され、「オンライン予選」の後、新宿で「決勝戦」を開催する。オンライン予選では、設問30問(6カテゴリ各5問)を参加者が解いていき点数を競う「ジェパディ(Jeopardy)」形式で行う。決勝戦は、オンライン予選を通過した上位10チームが、攻防戦を繰り広げる「アタック・アンド・ディフェンス」形式。決勝戦優勝チームは、賞金100万円ならびに2015年12月に台湾で開催される「HITCON CTF FINAL 2015」決勝戦の出場権を得ることができる。Trend Micro CTF オンライン予選は、8月22日 13:00~23日13:00までとなり、参加条件を日本を含むアジア・パシフィック地域在住者、20歳以上だ。決勝戦は、11月21、22日に行われる。参加対象者は、オンライン予選通過上位10チームで、1チーム最大4名。賞金は、優勝チームが賞金100万円と「HITCON CTF FINAL 2015」決勝戦出場権。2位チームは賞金30万円、3位チームは賞金20万円となる。
2015年07月17日シーディーネットワークス・ジャパン(CDNetworks)は7月15日、既存のウェブセキュリティ・サービス「クラウド・セキュリティ」にWeb Application Firewall(WAF)サービスを追加し、同日より提供を開始したと発表した。追加したWAFサービス「クラウド・セキュリティWAF」は、インフラを世界中に分散配置したクラウド型であることが特長。世界6拠点にまたがるセキュアードCDN配信プラットフォームは大規模攻撃に対応可能な豊富なキャパシティを有するという。また、世界160か所に分散配置したCDN配信プラットフォームより、高パフォーマンスなコンテンツ配信も実現する。静的ルールのほか、IPレピュテーション、ビヘイビア検知など、マルチレイヤのファイアウォールで多様な攻撃を検知・ブロックし、企業のWebセキュリティを補完する。また、24時間365日、セキュリティ専門エンジニアがウェブサイトやウェブサービスの監視・サポートを行う。新たな脆弱性に対応したプログラムの納品までに時間がかかる場合でも、WAFサービスを利用することで特定の攻撃に対して即座に対処が可能となるとしている。
2015年07月17日スターティアは、中堅・中小企業を対象にファイルのアクセスログ管理・ウィルス対策ソフト、アクセス権の設定などマイナンバー対策に役立つセキュリティ機能がセットになったファイルサーバ(NAS)「Store-BoxPlus(ストアボックス プラス)」の販売を7月15日より開始すると発表した。「Store-Box Plus」は、ファイルのアクセス履歴の取得やアクセス権限の設定、ウィルス・スパイウェア対策ソフト(ESET File Security)の実装、データバックアップ、UPS(無停電装置)などのセキュリティ機能がセットになったNAS。価格は、5年リースの4TBモデルで月額23,000円(税別)。買取の場合は120万円程度。ほかに8TBモデルもある。価格には、ハードウェア保守5年分、バックアップ用外付けHDD、バックアップソフトウェア、既存のNASからのデータ移行や導入後のサポートまで含まれている。同社では、従業員数が300名以下の中堅・中小企業を中心に本製品の提案を行っていく予定。
2015年07月15日インターネットイニシアティブ(IIJ)は7月13日、人工知能(AI)技術を活用したセキュリティソリューションの開発に向け、実証実験に着手したと発表した。まず、同社のネットワークにAI技術を導入し、サイバー攻撃の自動解析、判断、学習などを通し、その有用性の検証を8月より開始する。IIJは、AI技術を活用して人手を介さずに24時間365日リアルタイムで通信トラフィックの監視、異常検知を行うことで、新たな脅威の予測と迅速な対策が可能になるとしている。実験では、AI技術と高性能コンピュータ(HPC: High Performance Computer)を用いた検証システムを構築し、大量のトラフィックの監視や異常検知が行えることを確認したうえで、秋をめどにセキュリティ脅威の予兆・検知などの実用化に向けた技術検証を進め、来年度の商用化を目指す。
2015年07月14日インターネットイニシアティブ(IIJ)は7月7日、高度化するサイバー攻撃への対策として、さまざまなセキュリティ機器のログ情報を収集し、相関分析を行うことで、早期に攻撃を検知する「IIJ統合セキュリティ運用ソリューション」の提供を開始したと発表した。IIJはシマンテックと協力し、複数のデバイスを統合的に監視、分析することで、これまで検知が難しかった脅威を早期発見し、対策を可能にした。ルータやスイッチ、ファイアウォールなどの各種ネットワーク機器の通信ログを収集し、すべてのログを相関分析したうえで、シマンテックの脅威監視データベースにある最新脅威情報と突合する。専任のセキュリティアナリストが、24時間365日データを解析し、インシデント発生の予兆を把握するとともに、誤検知を含まない正確なアラートを通知する。機器毎の個別のセキュリティ対策では検出が困難だった攻撃も、予兆段階から早期に検知できるので、セキュリティ事故を防ぐことできる。導入コンサルティングから設計、構築、運用までは、IIJの専門エンジニアがワンストップで行い、同社の豊富な運用経験をもとに、インシデント発生時には顧客に即座に通知し、緊急対応などのサポートを提供する。通信ログの収集、解析のためのシステム基盤はIIJのクラウド上に構築し、運用、監視、保守なども同社が行うため、顧客は、新たな設備投資をせずに導入できる。デバイスごとに個別に行っていたセキュリティ対策を統合することで、運用効率を向上し、セキュリティ投資の適正化につなげるとしている。
2015年07月08日ESETは7月6日(現地時間)、「400GB of info leaked from Hacking Team」において、セキュリティ企業であるHacking Teamが攻撃を受け、400GBを超える機密情報が漏洩したと伝えた。こうしたサイバー攻撃による機密情報の漏洩は毎日のように世界中で起こっているが、今回はセキュリティ企業で起こった点で他の事件よりも重大と指摘されている。今回の情報漏洩のきっかけは強度の弱いパスワードを使っていたことにあるという。盗まれた情報の中にはHacking TeamのTwitterのアカウント情報も含まれており、攻撃者はHacking TeamのTwitterアカウントを乗っ取って機密情報のバラマキに使用している。ESETは今回の事件を受けて、セキュリティレベルが高いであろうはずの企業であっても、弱いパスワードを使っていただけで壊滅的な事態を引き起こす可能性を持っており、どんな会社であってもこうした危険性から逃れることはできないと指摘している。
2015年07月07日ハッキング、データ漏えいと政府や企業のサイバーセキュリティ事件が後を絶たない。コンテンツデリバリネットワーク(CDN)で構築した土台を基にクラウドベースのセキュリティサービスを提供する米Akamai Technologiesによると、「残念ながら当面の間状況は改善しそうにない」という。サイバーセキュリティで何が起こっているのか。Akamaiでセキュリティ部門担当シニアバイスプレジデント兼ゼネラルマネージャーを務めるStuart Scholly氏Scholly氏に「脅威や攻撃のトレンド」と「Akamaiの提案」について聞いた。○Akamaiのセキュリティ部門は急成長――セキュリティビジネスの展開はいつからか? どのようなソリューションを揃えるのか?Akamaiがセキュリティ分野に拡大したのは4年前だ。インターネットアプリケーションでは高速、信頼性、安全性が必要となる。Akamaiのネットワークは最も高速で、最も信頼性がある。そしてセキュリティの要素が必要だと気がついた。当初は小規模だったが急速に成長している。2014年にProlexicを買収した時、Akamaiのセキュリティ事業とProlexciはほぼ同じ規模でともに年間7000万ドル事業だった。合わせると1億4000万ドルとなり、クラウドベースでは最大級のセキュリティ事業に成長している。我々は3つの面で保護できる。1つ目として、Webアプリケーションの保護として「KONA Site Defender」を提供する。DDosとWebアプリケーションの一貫性問題(データ窃盗)の両方で保護し、常時アベイラブル、性能、安全性を実現する。2つ目は「Prolexic Routed」で、HTTP/HTTPSだけでなく、VPNアプリケーションや電子メールなどすべてのプロトコルやポートをサポートするものだ。3つ目は「Fast DNS」で、DDoS攻撃から守る堅牢DNSソリューションだ。――セキュリティベンダーは多数あるが、Akamaiの強みは?Akamaiは常時、世界中のインターネットトラフィックの15~30%をみている。これにより、脅威についての全体的な視点を得ることができる。我々は、毎日2PBのログイン情報をみており、その中から攻撃のデータを検出できる。その結果、KONAなどの既存製品の品質改善が可能となるだけでなく、クライアントレピュテーションといった新しい製品も開発している。クライアントレピュテーションは、全てのIPアドレスからDDoS攻撃に関連しているIPアドレス、Web攻撃に関連しているIPアドレス、脆弱性スキャンを行っている、(Webサイトから情報を抽出する)Webスクレーピングに関与しているなどの点を評価して1-10でスコアをつけるもので、顧客にこの情報を提供できる。自社にやってきたトラフィックからIPのレピュテーションを見て、対応する。Akamaiはインターネットにおける信頼された場所であり、このポジションは他にはないと自負している。――セキュリティ事業が伸びている背景は何か?攻撃が増えているからだ。政治的なもの、純粋なビジネス目的のものと攻撃の種類もさまざまで、規模の大小を問わず、あらゆる企業がターゲットになっている。SQLインジェクションなど、Webアプリケーションを狙った攻撃に遭う企業は4社に3社と予想されるなど、状況は悪化している。最新のトレンドで言えばDDoS for Bitcoinがある。これまでのDDoS攻撃はWebサイトをダウンさせることを目的としていたが、攻撃を仕掛けて"身代金"としてBitcoinを要求するという攻撃だ。期日までに払わなければ求めるBitcoinの数を増やし、攻撃の帯域を増やすと脅すもので、数週間前に我々の顧客3社が被害にあった。この攻撃はあちこちで起こっており、最悪の場合には攻撃に気づいていない企業もあるかもしれない。これ以外の要素として、これまで企業が社内で講じていたセキュリティ機能がクラウドに移行しているというトレンドがある。5~6年前までのDDos攻撃は大企業を乗っ取るほど大きくなかった。帯域が十分でなく、対応できるデバイスも限られていた。だが現在、どのような企業でもDDoS攻撃のターゲットになりうる。企業はクラウドでの攻撃に対応するためのクラウド戦略が必要だ。Akamaiは顧客の対策を支援できるだけでなく、攻撃に関するデータを持っているため、対策ルールをチューニングして顧客に精度の高い対策を提供できる。false positiveとfalse negativeの両方の誤検知率が低い。このように、クラウドで提供されるセキュリティ機能が増えており、Akamaiは専門知識が利用できることから様々なセキュリティ対策がクラウドに移行している。これがAkamaiのセキュリティ事業の後押しとなっている。――モバイルのトレンドはセキュリティにどのような影響を与えている?モバイルはセキュリティ分野にとっても大きなインパクトを持つ。Akamaiはモバイルでは、アプリのパフォーマンスにフォーカスしている。モバイルアプリは標準的なWebアプリよりパフォーマンスが劣ることが多いが、インフラが原因であることがほとんどだ。Akamaiはトラフィックの加速化を実現する。今後は性能からセキュリティに拡大し、モバイルユーザーをより安全にすることにもフォーカスする。モバイルに特化した製品はまだ提供していないが、モバイルと標準的なWebの保護は重点分野だ。――IoT(モノのインターネット)はどうか? スマートホーム、スマートカーなどの立ち上がりとともにセキュリティの懸念も見られるがIoTはセキュリティにとって大きな問題だ。Akamaiではすでに、典型的なコンピューター端末ではないものがDDoS攻撃に使われているのを観測している。例えばARMプロセッサーを搭載した端末、プリンターなどだ。これらのデバイスはこれといったセキュリティ対策を講じておらず、悪意ある人が攻撃プラットフォームとして利用できる。CPUが入っているものならなんでも攻撃プラットフォームになりうる。我々はこの分野での動向を注意深く観測しており、どのようにしてIoTを安全にするかを考えているところだ。今後IoTのセキュリティ問題は大きくなってくるだろう。私は自宅で(Google傘下の)NESTを利用しているが、プライマリーネットワーク上では利用していない。あらゆる技術は良いことと悪いことに使える。IoTにより、製品が故障する前に状態を知らせることが可能になるが、これは効率化につながる良い面だ。このような「メリット」と「リスク」にはバランスが必要で、本当にこれを自動化する必要があるのか、導入前にハッキングされるリスクを考えるべきだ。例えば、セキュリティカメラがハッキング可能であることがわかっている。セキュリティのためであるはずなのに、ハックして家の中を見ることができるとなると、本末転倒だろう。――Akamaiのセキュリティ事業で、今後どのような分野を揃えていく予定か?我々の伝統的な役割は、インバウンドのトラフィックを安全にすることだった。これに加えて、現在アウトバウンドのトラフィックのセキュリティも検討している。これにより、顧客のユーザーの保護も可能となるため、面白いチャンスだと見ている。幸いAkamaiのプラットフォームは柔軟性があり、新しいセキュリティ機能を容易に動かすことが可能だ。――日本市場での取り組みは?今年は企業として日本市場に強化する。Akamaiを利用する顧客はグローバルに展開しているところが多いが、日本のグローバル企業にもっとリーチしたいと思っている。日本とポーランドにセキュリティ・オペレーション・センター(SOC)を新たに立ち上げ、日本では日本語でサポートを提供する体制を整えた。
2015年07月02日NECは6月29日、サイバー攻撃に対して、情報とスピードを重視し、先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現する「NEC Cyber Security Platform(サイバーセキュリティプラットフォーム)」の販売を開始した。これは、高度化するサイバー攻撃の対策に必要となるさまざまな機能を備えた基盤製品。同製品を活用したソリューションの第1弾として、「脅威・脆弱性情報管理ソリューション」を提供する。「NEC Cyber Security Platform」の特長の1つは、確認が難しかった脆弱性を素早く精密に調査できること。新たな脆弱性情報が配信された際、情報システムの脆弱性の有無をサーバだけでなく個々のPCまでオンデマンドで素早く自動調査できる。アプリケーションを構成する各ファイルのバージョンやサイズ、レジストリ設定値も調査するため、購入したアプリケーションに含まれながら意識せずに利用されるOpenSSLなどのソフトウェアのように、これまで確認が難しかった脆弱性も発見できる。また、脆弱性情報やパッチ情報だけでなく、パッチが当てられないシステムへ設定変更などの対応策も含めて提示するため、すぐにはパッチが当てられない情報システムに対しても効果的な脆弱性対策を行うことが可能となる。さらに、オンデマンド調査で脆弱性が内在する機器を特定するだけでなく、対策の実施状況も表示する。そのほか、PCやサーバなどのレジストリ設定値などの書き換えを含めてきめ細かく調査するので、攻撃後に自己消去するような従来では検知の難しいマルウェアの攻撃も素早く検知し、攻撃検知後に被害が自社の情報システムのどこまで拡散しているかを把握できる。NECによると、同製品の導入により、脅威・脆弱性情報への対処が必要なサーバ・PCの特定、対策の立案を支援、対策作業の削減が実現されるという。サーバ、PCが1000台規模の場合、新たな脆弱性が発見された際の費用を1回当たり約500万円以上削減できると見込まれている。
2015年07月01日オプティムとアルプス システム インテグレーション(ALSI)は6月26日、モバイルセキュリティ分野にて業務提携を行い、ALSIのフィルタリングデータベースを利用した製品を、オプティムが開発・提供すると発表した。提携第一弾として、オプティムのペアレンタルコントロールサービス「mamoly(まもりー)」にWebフィルタリング機能を追加する。これは、スマートデバイスを持つ子供と保護者をサポートするペアレンタルコントロールサービス。今回の業務提携により、ALSIのフィルタリングデータベースを利用して、ユーザーがカテゴリを指定してWebコンテンツを制限するWebフィルタリング機能が追加される。制限を行いたいコンテンツの種類(カテゴリ)を指定し、ユーザーが認識していない未知の有害サイトや、危険なWebサイトの閲覧をブロックし、有害サイトや危険なWebサイトの閲覧による悪影響や被害から子供を守る。
2015年06月29日クロス・ヘッドは6月24日、法人向けセキュリティソリューションを提供するソフォスとゴールドパートナーとして、販売契約を締結した。両社は、主にミッドレンジマーケットに向けて、マイナンバー導入時に包括的なICTセキュリティ対策強化を可能にする「マイナンバー時代のセキュリティ対策ソリューション」を提供する。今後ミッドレンジの顧客を中心に、オンプレミスシステムをパブリッククラウドへ移行するにあたってのセキュリティソリューションを包括的に提供する方針だ。クロス・ヘッドは、ソフォスと提携することで、セキュアなネットワークインフラ構築からエンドポイントセキュリティ対策、データ保護対策の導入、サポートまでをワンストップで提供していく。今回提供されるパッケージの例としては、「ソフォスゲートウェイパック」と、「ソフォスセキュリティスタートアップパック」の2種類が挙げられる。まず、「ソフォスゲートウェイパック」は、ソフォスのWi-Fi-AP付きUTMハードウェアアプライアンスである「SG105W」に対し、フル機能のライセンス、オンサイト設置作業、オンサイト機器交換サービス(平日9時-17時)をバンドルしたもの。外部からの攻撃を防止するファイアウォール機能やWEBプロテクション、Wi-Fiプロテクション、VPN終端機能により、外部からの攻撃を防止できる。価格は、24万8000円(税別)から。「ソフォスセキュリティスタートアップパック」は、「ソフォス ゲートウェイパック」に加え、エンドユーザープロテクションライセンスを20本、サーバープロテクションライセンスを2本セットにしたもの。サーバープロテクションは、フルファンクションのアンチウイルス機能に加え、 Lockdown機能を搭載する。これにより、利用可能なアプリを限定する事が可能となり、悪意のあるアプリケーションの起動を抑制する。また、エンドユーザープロテクションにはフルファンクションのアンチウイルス機能に加え、外出先からのVPN接続機能とスマートフォン等のモバイルデバイス管理(MDM)機能も利用可能となる。なお、同パッケージは、クラウドライセンスとなっているため、管理サーバーを用意する必要がなく、初期コストを削減できる点も特徴だ。価格は、45万円(税別)から。
2015年06月25日前編では、標的型攻撃メール訓練に潜む落とし穴について説明を行いました(【コラム】セキュリティのトビラ 標的型攻撃メール訓練のトビラ(1))。後編では、訓練に関する"ある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。○問題は?こういった訓練について2011年に興味深い実験結果が報告されているのでそちらを紹介しましょう。これは、現在IBM傘下となったTrusteerが実施したものです。セキュリティ教育を受けたと判断できるユーザー100人に対し、知人がライバル会社に転職したことを知らせるメール(ビジネスSNS「LinkedIn」の通知に偽装)を100人に送信しています。そして、メール内に記述されているリンクをクリックするかどうかを調べるというものでした。7日以内にリンクをクリックした人、クリックしなかった人の結果は以下の通りです。24時間以内にクリック:41人48時間以内にクリック:52人(24時間以内から11人増)7日以内にクリック:68人(48時間以内から16人増)クリックしなかった:32人通常の訓練であればクリックをした方にフォーカスして、何かしらの教育を行うことが多いわけですが、この実験ではクリックしなかった方に「リンクをクリックしなかった理由」を訪ねています。理由とその人数の内訳は以下の3通りです。「(見逃しやスパムフォルダに入って)そのメールを見ていない」:16人「興味を引かなかったためクリックしなかった」:9人「普段からLinkedInの更新メールは読んでいない」:7人合計すると32人になります。以上の結果を踏まえると、セキュリティの教育を十分に受けたと判断できる人でも、偽物のメールであることに気付いた上でリンクをクリックしなかった人は0人であることがわかったわけです。また、それと同時に、開いた人が7割近くいたというケースが存在するということを教えてくれています。それでは、今回の攻撃で日本年金機構に送られてきた攻撃メールの内容を見てみましょう(一部伏字)。件名:「厚生年金基金制度の見直しについて(試案)」に関する意見○ ○様5月1日に開催された厚労省「厚生年金基金制度に関する専門委員会」最終回では、厚生年金基金制度廃止の方向性を是とする内容が提出されました。これを受けて、企年協「厚生年金基金制度の見直しについて(試案)に関する意見」を、5月5日に厚労省年金局企業年金国民年金基金の■■課長に提出いたしました。添付ファイルをご覧ください。(本文内にYahooボックスへのリンクが記載)これが公開アドレスに届いたわけです。公開アドレスというのは、常時不特定多数の方からメールを受け、その内容に目を通して処理することが目的とされているもののはずです。そこにこれだけの文章のものが届いた場合、果たしてどれだけの人が騙されないでいられるでしょうか。もちろん、騙されない方もいるでしょうし、常にそのように対処できるのであれば、それほど素晴らしいことはありません。しかし、現実問題として騙されてしまう人がいると筆者は考えています。さて、訓練に話を戻しましょう。筆者が知人から聞いた"実際の組織で行われた訓練の話"も紹介しておきたいと思います。その組織では各グループごとにセキュリティの窓口の役割を担う方がいるそうです。そして、訓練が行われた際に、そのグループの開封率が"窓口の人の評価"に影響を与えるのだそうです。評価に影響がある人からしたら死活問題ですよね。いつ訓練が行われるか、気が気でなかったことでしょう。そして、その人の取った行動は……。いつ行われるか分からない訓練の実施をいち早く気付くために日々メールをチェック訓練のメールを受信した時には、口頭で「今、訓練が行われているからメールを開かないように」とグループの人に通達これでは身も蓋もありませんね。ここまでの説明して来たこと全てが、訓練の行われ方について筆者が懐疑的になるポイントです。しかし、その一方で、筆者は「訓練そのものが無駄である」とは考えていません。皆さんには、世の中に存在する訓練の意義を今一度考えていただきたいと思います。例えば、火災訓練を思い浮かべてください。火災訓練と聞いて、「火事そのものを起こさないための訓練」を浮かべる方は少ないと思います。おそらく、殆どの人が「火事が発生したことを想定した避難の訓練」を浮かべることかと思います。火事が起きたときの死因として多いものとして一酸化炭素中毒があります。物が燃えることによって発生する煙に視野を奪われ、有毒ガス吸い込んでしまい意識障害を起こし、結果、逃げ遅れて焼死してしまうそうです。火災によって発生する有毒ガスが室内上部に集まりやすいため、火災訓練では姿勢を低くし、ハンカチなどを口に当てて避難する経験があることでしょう。そして、人が避難する際にパニックに陥り、ビルの出口に殺到した時の転倒などによる二次災害を避けるために、慌てずに落ち着いて行動しつつ避難経路を確認するといった行動をしますよね。上記のように頭で分かっていても、いざという時に考えているままの行動を起こすことは難しい。だからある程度、定期的に火災訓練などを行い、"慣れを養う"わけですね。これは標的型攻撃メールの訓練でも同じことが言えるかと思います。もちろん、怪しいメールに遭遇したら添付ファイルを開かず、本文中に記載されたアドレスにアクセスしないに越したことはありません。ただ、人間がすることですから、組織すべての人が常に100%そのように行動することは不可能といっても過言ではないと思います。そうとすれば、火災訓練などと同じように標的型攻撃メールが送られてくること、そして、それを開いてしまうということがありうるという前提で訓練を行う必要があるのではないでしょうか。不審なメールを受け取ったと気付いた時や、マルウェアの感染が疑われる時など、普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。迅速に関係各所に報告することができるかそもそも、その関係各所というのはどこなのか社内のマニュアルではどのように対応することになっているのか。平時にこそ確認して、異常時に備えるために行う訓練であれば筆者はとても有意義なものであると思います。よって、「開いた/開かない」「クリックした/クリックしなかった」ということにのみにフォーカスして、一喜一憂するようなものではないと思います。そうではなく、事が起こったときにきちんとした行動ができるかどうかまでの温度感をはかる。訓練を行った結果、「全体の何人が開いたか」「クリックした/しなかった」に加えて、「全体の何人が正しい行動ができたのか」をはかり、「慣れを身につける」という訓練を行う必要があるのではないでしょうか。少なくとも、訓練は騙されてしまった方を責めるために行うものではありません。セキュリティやそれを実現するための技術や知見は人を守り、安心を与えるために存在するもののはずです。決して、人を傷つけるものではないと思います。また、そのような行い方をすることによって、本当に必要なときに報告が上がってこないといった文化が出来上がり、それが被害の拡大を招く結果が危惧されます。攻撃を行う側は金銭や思想などをモチベーションに連携したり、組織的に攻撃を行ってきています。基本的に、攻撃を行う側の方が有利であり、私たちは防戦一方を強いられます。負けることはあっても勝つことはありません。そうなるとわかっているのですから、守る側の私たちも組織全体で「情報だけではなく、人も守る」という意識を持って取り組んでいかなければならないのだと強く思います。とは言え、セキュリティの専門家だけでは立ち行かない状況になっていると実感しています。守る側の中で吊るしあい、責任の擦り付け合いをしていても仕方ありません。標的型攻撃に対峙する時、悪意を持った敵は外にいます。その相手には社会全体で力を合わせて立ち向かっていくようにならなければ負けっぱなしになってしまいます。そんなのは悔しいじゃないですか。みんなで頑張りましょう。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月24日IDC Japanは6月22日、2014年の国内セキュリティ市場規模実績と2019年までの予測を発表した。これによると、2014年の国内情報セキュリティ市場において、セキュリティ製品市場規模は2564億円で、前年比成長率は3.5%。また、コンサルティングやシステム構築、運用管理、教育/トレーニングサービスを含むセキュリティサービスの市場規模は6457億円で、前年比成長率は6.9%だったという。2014年のセキュリティソフトウェア市場は、サーバー統合/システム統合による業務システムのリプレイスに伴い、アイデンティティ/アクセス管理への需要が高まったほか、スマートフォンやタブレットの普及によるモバイルデバイスからのリモートアクセスと認証ソリューションへのニーズも高まった。これに加え、標的型サイバー攻撃への対策需要も高まり、エンドポイントセキュリティとアイデンティティ/アクセス管理が市場をけん引し、前年比成長率は4.1%で、市場規模は2151億円になった。2015年以降は、法規制によってサイバーセキュリティ対策やマイナンバーなどの個人情報保護対策の強化が求められ、同市場への需要が拡大すると予想される。このことから、セキュリティソフトウェア市場の2014年~2019年における年間平均成長率(CAGR:Compound Annual Growth Rate)は4.2%で、2019年には2638億円に拡大すると予測される。2014年のセキュリティアプライアンス市場は、標的型サイバー攻撃対策としてニーズが高いIDS/IPS(Intrusion Detection System/Intrusion Prevention System)やアプリケーション層まで制御する次世代型ファイアウォールを含むUTM(Unified Threat Management)が堅調。一方、それ以外のアプライアンス製品が軟調であったため、市場規模は前年比0.4%増の414億円で横ばいとなった。2015年以降も、標的型サイバー攻撃への対策需要は継続して高く、多層防御を備えたUTM製品やIDS/IPS製品が市場をけん引すると予測。また、全体の市場規模は、2014年~2019年のCAGR(Compound Annual Growth Rate)4.5%で、2019年には516億円に拡大すると予測されるという。そのほか、2014年のセキュリティサービス市場規模は、前年比6.9%増の6457億円。この市場では、クラウド、モビリティ、ソーシャル技術といった「第3のプラットフォーム」に最適化されたセキュリティシステムが求められ、コンサルティングサービスからシステム構築、運用管理に至るセキュリティサービス全般に対する需要が高まっているという。2015年からはサイバーセキュリティ基本法によって、重要インフラ産業での標的型サイバー攻撃対策強化が求められ、フォレンジックサービスやマネージドセキュリティサービスなど専門知識を有するサービスへのニーズが高まると考えられる。なお、市場全体の2014年~2019年のCAGR(Compound Annual Growth Rate)は4.9%で、2019年には8202億円に拡大すると予測される。特定の企業や団体を狙う標的型サイバー攻撃は、未知の脆弱性を狙った先進的なマルウェアや特定のシステム向けに開発したカスタムマルウェアを利用するなど巧妙化が進んでいる。また、セキュリティ脅威を潜在化させることで、起こりうるセキュリティインシデントは、表面化した時点で企業活動に致命的な影響を及ぼすような重大な事案になっているケースも増えている。その中でIDC Japanのソフトウェア&セキュリティリサーチマネージャーの登坂氏は、「セキュリティベンダーは、従来のシグネチャ型外部脅威対策による既知・先進的マルウェア対策と、外部脅威対策製品とセキュリティインテリジェンスを連携した多層防御ソリューションを訴求すべきだ。これにより、ユーザー企業は継続的にセキュリティ強化を図り、迅速な防御対策と運用管理負荷の軽減を実現できる」とコメントしている。
2015年06月22日サイオステクノロジーの子会社であるグル―ジェントは6月18日、米CloudLockのクラウド・セキュリティ・ソリューション「CloudLock」の日本語版を発表した。販売開始は7月1日。CloudLockは、クラウド環境における企業のコンプライアンスをサポートするセキュリティソリューション。ファイルごとの暗号化に加えて、ユーザーの振る舞いの監視・分析を行い、リスクの高いアクションに対するアラートや制限が可能になるとしている。パブリック・クラウド・サービスとAPIを介して直接連携したサービスで、数分で導入可能という。今回発表した日本語版では、同社が既に販売している「CloudLock for Google Apps」が利用できる他、日本でも企業での導入が加速しているパブリック・クラウド・サービスにも対応し、「CloudLock for Salesforce」「CloudLock for Dropbox」「CloudLock for Microsoft Office 365」をラインナップに追加した。さらに同社は日本市場向けの独自のサービスとして、導入や運用に関する日本語でのサポート・サービスも提供するという。
2015年06月19日ソフトバンク・テクノロジー(SBT)は6月16日、トレンドマイクロのサーバ向けクラウド型総合セキュリティサービス「Trend Micro Deep Security as a Service」の提供を開始したと発表した。サービスは、サーバの保護に必要なセキュリティ機能を包括的なセットとして提供し、管理マネージャーをトレンドマイクロのクラウドで提供するため、サーバの構築や運用管理などの運用コストを削減できる。また、SBTが提供する「Microsoft Azureマネージドサービス」は、Microsoft Azureに構築した顧客システムに対して、24時間365日の運用監視や、バックアップ、セキュリティなどの運用・保守を提供しており、オンプレミス環境(機器設置型)とMicrosoft Azure環境(クラウド型)のハイブリッド構成もサポート。短期間でコストを抑えてより高度なセキュリティ対策を提供することが可能となった。価格は、ライセンス費用17,800円/台・月(税別)で提供される。なお、Deep Securityエージェントを導入するサーバ台数ごとにライセンス費用が発生する。
2015年06月18日カスペルスキーは6月17日、WWDC15で発表されたアップル製品向けの新OSのセキュリティ機能を同社のブログ「Kaspersky Daily」で解説している。アップルは、サンフランシスコで開催した開発者向けの年次会議「WWDC 15」において、Mac OS Xの次期バージョン「El Capitan」、iPhone/iPad向けOSの次期バージョン「iOS 9」、Apple Watch向けOSの次期バージョン「watchOS 2」を発表した。いずも今秋の公開を予定されており、現在は開発者向けにベータ版を提供している。セキュリティ関連でも新機能がいくつか発表された。カスペルスキーが注目したのは、基調講演の際にアップルが「自社の利益のためにユーザーのデータを収集することはない」と明言したこと。以前にも米アップルのCEOであるティム・クック氏は、「無料と見せかけて実はかなりのコストが伴うサービスを利用するために、利用者が個人情報を差し出すようなことがあってはならないと思う」と話し、企業が利用者の個人情報を取得することに反対する姿勢を見せている。また、iOSのパスコードの要件が変わり、これまでの4桁のパスコードに代わってiOS9では6桁のパスコードが採用される点も歓迎している。単純に新しいパスコードでは、組み合わせ可能なパターンが4桁より100倍に増え(1万通りから100万通り)、他人に見破られる可能性は低くなる。新パスコードの設定は必須で、6桁のパスコードを利用しないと端末は動作しないという。さらに、開発者は新OSで、VPNとプロキシ対応の接続を実装するための新しいツールや、トラフィックの暗号化とフィルター用のツールを利用できるようになることで、さらに安全なアプリの開発が可能になると推測している。セキュリティ以外の注目点は、iOS 9のSiri、El CapitanのSpotlightで、これまでより遥かに強力な検索を実現できるとしている。これらの検索機能は、状況に応じて、ユーザーが必要としそうなヒントや検索結果を予測するというもので、Googleの新サービスである「Now on Tap」との多くの共通点があるという。
2015年06月18日