サイバー攻撃の脅威はメディアなどでも頻繁に取り上げられており、その対策方法についても目にしたり耳にしたりする機会は多い。しかし、そうした脅威の実態や、理想論ではなく現実解としての対策方法となると、有益な情報は簡単には見つからない──なかなか語られることのないサイバー攻撃の真相や現実的なセキュリティ対策法について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション「マイナビニュース WEBセキュリティセミナー あの不正アクセスはなぜ起きたのか? セキュリティ専門家が事件の裏側を徹底討論」が12月5日に開催される。

三銃士が登壇する「WEBセキュリティセミナー」(12月5日(木) 虎ノ門)の参加申し込みはこちらから(参加費無料)

今年9月に東京と大阪で開催され好評を博したセミナーの追加公演となる今回もまた、"セキュリティ三銃士"が盛りだくさんのオフレコ話とともにWebサイト攻撃の裏側で起きていることや現実的な対策方法について議論を繰り広げるはずだ。ここではまずパネルディスカッションの"前哨戦"として、彼らに、Webサイト攻撃の最新動向を踏まえて意見をぶつけ合ってもらった。前回は「攻撃者に狙われやすい"落とし穴"」と称し、最近のWebサイト攻撃の中でも特に注意すべき脅威についてお伝えした。2回目の今回は、今の日本企業に足りない事は何なのか、座談会の模様を一部レポートしよう。

防御だけでなく、侵入後の対策にも目配せを

左からインターネットイニシアティブ セキュリティ情報統括室 根岸征史氏、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、HASHコンサルティング 代表取締役 徳丸浩氏

「Apache Struts 2」の脆弱性を突いたサイバー攻撃など、今年も新たなWebサイト攻撃が絶えない。そうした状況のなか、企業の情報セキュリティ担当者は日々の運用をどのように行えばいいのだろうか──こうした疑問について、"セキュリティ三銃士"、NTTデータ先端技術 セキュリティ事業部 辻 伸弘氏、インターネットイニシアティブ セキュリティ情報統括室 根岸征史氏、HASHコンサルティング 代表取締役 徳丸浩氏の三氏に持論をぶつけてもらった。

──情報セキュリティの運用面について、何かコメントはありますか?

セミナーでは実例をもとに、侵入後の対応のケースモデルを紹介すると話す辻氏

辻氏:まずは、"攻撃を防ぐことばかりを頑張るのはもうやめようよ"と言いたいですね。もちろんそれも大事なんですけれど、それだけでなく、もし防御を破られて侵入されたときに、どうすれば被害を最小限に食い止めることができるのか、ということにもっと目を向けて欲しいんです。

なので、今度のパネルディスカッションでは、今年起きた「Apache Struts 2」の脆弱性を突いたサイバー攻撃で被害報告を受けた企業が、その後どこまで対策をしたのかについて話をしようと思っています。

根岸氏:私は、(万が一サイバー攻撃を受けた際に)被害に気づき被害状況を把握するのには、ファイルの改ざん検知ソリューションはかなり有効だと思っているのですが、なぜもっと普及しないのか不思議ですね。

ソリューションでの対策に加え、「"ローテク"に思える対策方法」も、侵入後を見据えた対策には効果があると話す徳丸氏

辻氏:運用が大変だというのがあるのかもしれませんね。

徳丸氏:ファイルの改ざん検知ツールは、入れている企業は入れているんですよ。これもセキュリティの"格差社会"の表れの1つでしょうね。大きい組織だから導入しているというよりも、"入れるんだ"としっかりと方針を決めている組織が導入しているという印象を受けます。

根岸氏:昔から言われている基本的な対策の部分を見直そうと呼びかけることも大事でしょうね。

徳丸氏:そうそう、(アクセス権限の見直しのような)一見"ローテク"に思える対策方法でも、すごく効果がありますからね。運用が面倒なのと合わせて、"所詮やられた後のことだろう"ということであまり普及していないのかもしれません。けれど、今は"サイバー攻撃で被害を受けた後に、いかに素早く気づくことができるかが大事なのだ"という認識は広まっていますから、もっと注目されていいと思います。

Webサイト攻撃の被害に気づくきっかけは"ユーザーからの指摘"という現実

──サイバー攻撃の被害を受けた後にうまく対応するためにはどうすればいいのでしょうか?

辻氏:サイバー攻撃の被害を受けても、きちんと対処できる企業とそうでない企業の違いをひとことで言えば"備えがあるか否か"ですね。どうしてやられたのかを知ることができる備えがなければ、その後自分たちのセキュリティを守るのに必要な対策など施せないでしょう。ただ、そのためにセキュリティの専任部隊を置けるような余裕のある企業は限られていますから、その辺りは体制づくりを含めて何か仕組みを設ける必要があるでしょうね。

改ざんの被害に気がつかない企業が多いことを危惧しているという根岸氏

根岸氏:サイバー攻撃を受けて改ざんの被害が生じているのに、いつまでも気付けずにも放置してしまっている企業が多いのを危惧しています。何かしら基本的な検知の仕組みさえあれば防げる事態なんですがね。

辻氏:最近、Webサイトなどが被害を受けているという事実を知るきっかけが、ユーザーからの問い合わせだったということが本当に多いですよね。

根岸氏:そうですね。外部からの指摘で気づくことができるのはいいのですが、それでも指摘を受けるまでの時間がかなりのロスになってしまいます。

辻氏:さらに、被害に気づく仕組みがないと、いつどのような被害を受けたのかをきちんと発表することができませんからね。

徳丸氏:日本人はある意味で潔癖なところがあるので、"絶対に攻撃者に侵入されてはいけない"と考えがちなんですよね。けれど、万が一侵入されてしまったときはどのような備えが必要なのか、についてもぜひ考えて欲しいですね。

──ここで紹介したのは議論のほんの一部だ。Webサイト攻撃による被害を最小限に抑えるための具体的な対策方法などについては、パネルディスカッションの第2部、「運用現場に必要な心構えと対策」で語り尽くされる予定だ。机上の空論ではないサイバー攻撃の現実をベースにした対策方法とその心構えは、自社のセキュリティに責任のあるすべての人々にとって必聴の内容となることだろう。