クラウドコンピューティングと呼ばれる概念の登場により、エンタープライズシステムとの親和性がますます高くなったWeb。仮想化をはじめとしたさまざまな新技術との組み合わせは、今後、ユーザー/管理者の双方に対してこれまで以上の利便性をもたらすことは間違いないだろう。
一方で、急速な発展/普及を遂げてきたWebは、その裏側を覗くと、今や「2.5秒に1件のペースで新種が発生している」と言われるほど、多くの脅威で満ち溢れている。その目的も、ユーザーを困らせるだけの"愉快犯"的なものから、金銭の取得へとシフトしており、攻撃手法も巧妙化の一途をたどるばかりというのが実情だ。
こうした複雑な状況の中、安全性を損なわずにシステムを進化させていくにはどうすればよいのか。これは多くのシステム管理者に共通の課題と言えるだろう。
そこで本誌は、そのようなシステム管理者の皆さんの力添えをすべく、『マイコミジャーナルITサミット 2010 Webセキュリティ』と題するセミナーを6月30日に開催する。
講演者は、Webセキュリティの"いま"を知る専門家 5人。それぞれの立場から最新の脅威と対策について易しく詳しく解説されるので、今回のセミナーはセキュリティにあまり明るくないシステム担当者や日々の業務に忙殺されて学習が追いついていない技術者たちにとって、最新技術動向をまとめて学べる絶好のチャンス。無償で参加できるので、ぜひこの機会を活用してほしい。
以下、今回の講演の内容と講演者を簡単に紹介しよう。
学術分野で実証済み! クラウドに向けられたセキュリティ脅威
ラック サイバーリスク総合研究所研究センター長 新井悠氏 |
最初の講演を担当するのは、ラック サイバーリスク総合研究所研究センター長という立場で、日々最新の脅威と向き合っている新井悠氏。氏は、実際に発生した事象のみならず研究論文もフォローしており、これから発生すると想定される脅威についても分析を進めている。
氏によると、現在のセキュリティの研究で最もホットなトピックスの1つが、仮想化をベースとしたクラウドコンピューティングだという。すでに実験のレベルでは仮想化の弱点をついたアタックに成功した例もあるようだ。新井氏の講演では、その仮想化/クラウドコンピューティングにおける脅威についても、技術的な側面から詳しく解説していく。
まだ「クラウド」という言葉さえも定着していないこの時期に、クラウドコンピューティングにおける脅威を通り一遍の紹介ではなく、技術的な側面から解説できる講演者は、新井氏のほかにそうはいない。今回の講演は、非常に貴重な機会と言えるだろう。
なお、新井氏は、弊誌連載『ITセキュリティのアライ出し』の著者でもある。今回の講演は、その"Live"版という形式をとり、クラウドコンピューティングの話題以外にも、ブラックマーケットの最新事情など、さまざまな最新トピックスが紹介される予定だ。楽しみにしてほしい。
巧妙化するフィッシング詐欺、その対策は?
日本ベリサイン ダイレクトマーケティング部 マネージャー 大塚雅弘氏 |
2つ目の講演を担当するのは、日本ベリサインにてダイレクトマーケティング部 マネージャーを務める大塚雅弘氏である。
氏はSSLサーバー証明書の専門家。日々巧妙化するフィッシング詐欺から顧客を守るべく戦っている人物だ。
"にせものサイト"を好きなところ作り、強引にユーザーをひっぱっていくフィッシング詐欺は、自社システムの保護とは異なり、対策が難しい脅威である。そのうえ、ユーザーからすると攻撃にあったときの被害が大きいため、例えサイト運営者側に一切落ち度がないとしても、多くのユーザーから"恨み"をかうという状況に陥ってしまう。そうなれば、ブランドイメージなどは当然、跡形もなくなってしまうだろう。
では、企業はどうすればこうした事態を防げるのか、またユーザーからすると普段からどういった点に配慮しておかなければならないのか。大塚氏の講演では、そうした点について最新技術情報も交えながら詳しく解説していく。
なお、"信頼できるサービスの証"として認知されはじめているサーバー証明書は、最近では企業の売上げ増にも貢献するという、非常に特殊な性質をもったセキュリティ対策であるようだ。当日は技術誌等で取り上げられる機会が少ない、メールの証明書などについても触れられる予定なので注目してほしい。
まずは80点を目指せ! 中堅・中小企業の有効対策
ウォッチガード・テクノロジー・ジャパン 代表取締役社長 本富顕弘氏 |
今、セキュリティ分野で最も目覚しい進化を遂げている技術のひとつである「UTM(Unified Threat Management)」について解説してくれるのが、ウォッチガード・テクノロジー・ジャパン 代表取締役社長の本富顕弘氏だ。
システム管理の専任者を置くのが難しい中堅・中小企業では、まともなセキュリティ対策を施せていないのが実情だろう。本富氏は、こうした状況に対して危機感を抱き、セキュリティレベル向上にむけた取り組みを続けている。
「最初から100点を目指すのは難しい。まずは20点レベルの現状を80点レベルにまで持っていくという意識が大切」と語る本富氏。このレベルを獲得できれば、コスト削減に大きな効果が見込めるSaaSやクラウドサービスもある程度安心して導入可能だという。
では、80点を目指すにはどういった要素が必要なのか。氏の講演では、非常に簡単な対策も交えながら、中堅・中小企業の必須知識を紹介していく。
認証処理をより安全に、より便利に
シー・エス・イー ICT本部 事業企画部 マーケティング課 課長 阿久津茂郎氏 |
「ユーザー認証処理の信頼性を高めたい」――そんな要望を持つ企業から現在大きな注目を浴びているのが、4つ目の講演を担当するCSEだ。
同社は「SECUREMATRIX」と呼ばれる、マトリクス認証ソフトウェアを提供している。マトリクス認証は、人が頭の中に思い描く"イメージ"からワンタイムパスワードを生成する技術。専用デバイスが必要ないうえに、通常のパスワードよりも忘れづらいというメリットがあり、運用の安全性を高めつつ、ユーザーの負担を大きく軽減することが可能だ。SECUREMATRIXは、すでに約60万IDもの導入実績を誇るという。
講演では、そのSECUREMATRIXについて、シー・エス・イー ICT本部 事業企画部 マーケティング課 課長 阿久津茂郎氏が技術的な側面を解説するほか、VPN接続時の認証処理で実際に利用している弊社 システム管理責任者の薄井照丈氏から使用感や導入の経緯なども紹介する予定だ。
SaaSやクラウドサービスの導入が進むと、ユーザー認証の重要性は確実に高まっていく。利便性と信頼性をいかにして共存させるは、システム管理者にとっての非常に大きな課題だ。SECUREMATRIXは、その課題を解消するうえでの有力な選択肢であることは間違いない。この機会に頭に入れておいて損はないだろう。
クラウド時代のキーワード「境界線」
IPA 非常勤講研究員、サイバー大学 IT総合学部 准教授 園田道夫氏 |
技術的な側面だけでなく、運用/管理全体の観点からクラウドコンピューティング導入の際の留意点を解説してくれるのが園田道夫氏である。
園田氏は、IPAの非常勤講研究員やサイバー大学 IT総合学部 准教授などの肩書きを持つ、セキュリティ分野のエキスパート。IPAが行っている「脆弱性関連情報の届出制度」を立ち上げた人物としても知られている。
その氏が現在、特に関心を寄せているのが、仮想デスクトップ環境(Virtual Desktop Infrastructure)の運用/管理。通常のデスクトップを持つPCやスマートフォンからさらに仮想的なデスクトップを呼び出すことができるVDIは、管理者の立場からすると、これまでのオフィス環境にはなかった新たな要素が組み込まれた技術になる。そのため、導入に際しては、これまでとは異なる視点での考察が求められるという。
そして、園田氏が強調するのが"境界線"という概念だ。「ローカルPCとサーバー/クラウドのどちらでどこまでのセキュリティをかけるのか。その境界線を、運用プロセスも含めたかたちで、利便性と安全性のトレードオフを考慮しながら、事前に検討しておく必要がある」(園田氏)
では、境界線を明確にするうえで考慮しなければならない要素としては、具体的に何があるのか。詳細を当日、確認してほしい。