昨年から報道機会が増え続けている不正アクセス事件。果たして、その裏側ではどういったことが起きているのか。WEBセキュリティセミナー「あの不正アクセスはなぜ起きたのか!? セキュリティ専門家が事件の裏側を徹底討論」(9月13日・東京、9月25日・大阪)では、セキュリティ分野の有識者を迎え入れ、Webサイト攻撃の現状と、企業が施すべき対策をわかりやすく解説する。ここでは、このセミナーで登壇予定のグローバルセキュリティエキスパートに、その講演の内容について聞いてみた。

急増するサイバー攻撃は中小企業もターゲットに

「企業のWebサイトが攻撃される事例の増加が顕著です。不正アクセスやサイト改ざんについては、3年前と比較して4~5倍に増えているという状態。IPA(情報処理推進機構)への相談件数もかなり増加しています」と、企業が直面している危機についてグローバルセキュリティエキスパートは語る。企業がサイバー攻撃にさらされているという警鐘は鳴り続けているが、近年はその増加が著しいというのだ。

攻撃の内容は、嫌がらせや愉快犯といったものから、ターゲットを絞ったものへと変化してきている。特定企業の担当者などを直接狙ってシステムに入り込もうとする「標的型攻撃」や、ターゲットにされた人がよく利用するWebサイトを改ざんして待ち受ける「水飲み場型攻撃」などの数も多い。一方で、攻撃される「セキュリティホール」の部分はそれほど変化していないようだ。SQLインジェクションやクロスサイトスクリプティングなど、攻撃に使われる脆弱性そのものは変化していない。しかし個人情報の売買がビジネス化され、攻撃に利用するマルウェアも簡単に売買できるようになってしまったため、企業側のリスクはより増大しているというのが現状だ。

しかも、事業形態や企業規模によって安全ということはないという。数年前までは国防に関わる機密情報を持つような企業が狙われていたが、今は中小企業だからといって安心できるわけではないのだ。攻撃の踏み台にされ、加害者となってしまうケースもめずらしくない。

セキュリティ診断サービスで脆弱性を把握するのが第一歩

これまでセキュリティに対してそれほど注力していなかった企業が、本格的に攻撃に備えるなら、まず最初に行うべきなのは脆弱性診断サービスの利用だろう。まず自社のシステムに脆弱性があるのかないのか、どのような脆弱性があり、どんな対策が必要なのかを把握しなければ、有効な対応を行うことはできない。

脆弱性診断には、ツールを利用して指定項目のチェックを行うものと、エンジニアが手動でさまざまな確認を行うものがある。予算や実施期間に差はあるが、手動チェックのほうが細やかで高品質な診断が行えるのは確かだ。

「できれば併用がオススメです。実際に脆弱性診断を行った場合、何も問題がないということはほとんどありません。インフラ側とWebアプリ側の双方をしっかりと診断し、セキュリティホールがあるようならば迅速に対応すべきです」とグローバルセキュリティエキスパートは説く。

実際に脆弱性が見つかった場合、そのセキュリティホールをふさぐため根本的なシステム改修を行おうとすると、コストや時間がかかりすぎるという場合もある。そんなときには、改修を将来的な視野に入れつつ、当面はその脆弱性を抱えたままのシステムでも安全に運用できるよう、対応ソリューションを導入するのがいいだろう。このような現実的なアドバイスを受けられるかどうかが、脆弱性診断サービスを選ぶポイントのひとつだ。

講演では…

グローバルセキュリティエキスパートは、脆弱性診断を専門とするタイガーチームサービス事業部を擁している。1997年から、日本国内でのセキュリティ診断の先駆けとしてサービスを提供してきた実績があるだけでなく、セキュリティ製品のベンダーではないため、第三者的な立場からの診断とアドバイスを行えるのが特徴だ。業種にかたよりなく、さまざまな企業に対して診断サービスを提供している。

9月に東京・大阪で開催される「WEBセキュリティセミナー ~あの不正アクセスはなぜ起きたのか!? セキュリティ専門家が事件の裏側を徹底討論~」では、豊富な診断経験を持つタイガーチームサービス事業部グループマネージャ清水氏が「企業が知っておくべき今日のハッキング行為の実情 ~ ハッキングの概念を理解し、未然に防げる防御術を身につけよう」と題した講演を行う。ハッキング行為などの脅威に対する対策も詳しく知る必要があり、これら脅威に対する対応策も講演では詳細に紹介する。

講演では「ハッキング行為」がどのようなものであるかを実例を踏まえながら伝えることで、企業が自社システムを運用するにあたって気を付けるべきセキュリティ対策のポイントを紹介する。