セキュリティ担当者にとって、自社の情報をいかに守り続けるかは永遠の課題だ。ビジネスのIT化が進み、デジタル化された重要な取引データ、顧客データは大量に蓄積されていく。一方で、情報の流通インフラとして、もはや不可欠となったインターネットの世界では、愉快犯的、あるいは明確な悪意を持って、こうしたデータの不正な入手を狙うサイバー攻撃の新たな手法が、日々編み出されている。

もはや「うちの会社に盗まれて困るようなデータなんかない」などと言える企業はない。金銭的被害をもたらすデータはもちろんのこと、現在では法律によって、氏名や電話番号、住所と行った個人情報なども漏洩がないよう、厳重に管理することが義務づけられている。

さらに、実際にはデータが漏洩していなかったとしても、システムが攻撃を受けたという事実が明らかになれば、それは経営上の重大なリスクとなり得る。どのような攻撃を受け、どのような被害があり、いかに対処したかをステークホルダーに明確に示せなければ、企業としての信頼は大きく損なわれてしまう。

具体的なセキュリティ対策を実施するにあたり、想定されるすべての脅威に対して完璧な対策を打つことができればよいが、セキュリティに際限なく投資できるわけではないのも事実だろう。まずは、自社のビジネスの状況、ITセキュリティの現状を正確に把握し、そのうえで適切な対策に優先順位をつけて、順次実施していくというのが現実的な解になるはずだ。

情報セキュリティを考える場合、企業の内部での対策と社外ネットワークからの攻撃への対策を切り分けることが重要だ。外部からの攻撃に備えるにあたっては、外部に対して公開されているWebアプリケーションとそれが動作しているプラットフォームのセキュリティ状況に気を配る必要がある。

ITに関連した情報漏洩事件などでよく耳にする「SQLインジェクション」「バッファオーバーフロー」「クロスサイトスクリプティング」といった言葉は、いずれもWebアプリケーションの脆弱性を対象にした攻撃手法の名称である。ブラウザさえあれば、どこからでも簡単に利用可能な利便性の高いWebアプリケーションは、犯罪者にとっても、重要なデータに最も近づきやすい格好の標的となり得るのだ。

攻撃の監視と対処に必要となる専門家のノウハウ

SCSK SCSカンパニー IT基盤ソリューション事業部 セキュリティソリューション部 Webセキュリティソリューションチーム 主任 手柴雄矢氏

日々発生する脆弱性や、巧みに進化を続ける攻撃手法の情報に常にキャッチアップし、それに対応し続けるのには、相当のスキルが必要であり、片手間な対処は不可能と言ってよい。自社でセキュリティ対策にリソースを割くことが困難であれば、専門家のサポートを受ける必要がある。

ユーザー系、独立系のSIerとしてそれぞれの実績を持つ住商情報システムとCSKが合併して誕生したSCSKでは、近年、攻撃が増えているWebアプリケーションのセキュリティ対策に関する総合的なサービスを「SECURE YOUR SITE」のブランド名で展開している。

SECURE YOUR SITEが対象とする範囲は、Webアプリケーションとそのアプリケーションが動作するプラットフォームの両レイヤとなる。企業のニーズに合わせて、専門家による脆弱性診断を受けられる「Security Assessment」、自社内での脆弱性診断体制の構築を支援する「Startup Partner」、そして外部からの攻撃に対する専門家の監視と対応を行う「Protection Expert」という3つのサービスを提供し、企業におけるセキュアなWebアプリケーションの構築、運用をサポートしている。

「SECURE YOUR SITE」のソリューションマップ

一度公開したら、基本的に昼夜を問わず稼働させ続ける必要があるWebアプリケーションに対して、稼働の状況や攻撃の有無を常に監視し続けたいというニーズに有効なサービスが「Protection Expert」である。Protection Expertでは、SCSKのセキュリティ専門スタッフが24時間365日体制で、システムの状況を監視。何らかの悪影響を及ぼす可能性がある攻撃を検知した場合、速やかに適切な対応をとるという。

「攻撃の検知や防御には、基本的にツールを利用します。しかし、ツールだけで防御できるのは全体の7割程度。実際に、セキュリティのエキスパートの目が加わることで、残り3割の防御が可能になります」と語るのは、SCSK SCSカンパニー IT基盤ソリューション事業部セキュリティソリューション部Webセキュリティソリューションチーム主任の手柴雄矢氏。

Protection Expertでは、Webアプリケーションレイヤでの防御にあたって、F5ネットワークスのWAF(Web Application Firewall)製品「F5 BIG-IP ASM」を活用している。実際に、この製品を導入するだけでもある程度の防御は可能だが、Protection Expertでは、より効果的な導入と運用を行うためのノウハウを持ったスペシャリストが対応するという。

「WAFを導入する際は、実際に稼働しているWebアプリケーションの構造を理解して行う必要があります。運用にあたっても、シグネチャの更新があったり、サイトやアプリケーションの構造が追加・変更されたりした場合に、適切な対応を行わないと過剰検知を引き起こす可能性があります。SCSKは2005年からWAFとしてBIG-IP ASMを扱ってきた実績があり、そうした対応を十分に行えるノウハウを持っています」(手柴氏)

標的型攻撃向けソリューションの追加でより強固に

Protection Expertは、「24時間365日体制でのセキュリティ監視」を合わせて提供している点も特徴的だ。監視の範囲はWAFだけでなく、ファイアウォール、IPS/IDS(不正侵入検知/防御)といったプラットフォームレイヤにも対応している。

WAF、IPS/IDSとして提供されている製品単体では、基本的に既知の攻撃手法に対する検知と防御が可能だ。しかしこれだけでは、近ごろ話題になっている「標的型攻撃」などで用いられる未知の脆弱性や攻撃手法への対応が難しいという課題もあった。Protection Expertでは、フルタイムの監視体制によってこうした未知の脅威に対してもリアルタイムで対策が講じられる点がポイントとなっている。

加えてSCSKは、Protection Expertにおいてゲートウェイタイプの標的型攻撃対策ソリューションを展開する。特定の企業や団体を対象に、未知の脆弱性やゼロデイ脆弱性、未知の攻撃手法を利用してくるケースが増えている標的型攻撃に対する検知と防御をより強固なものにするための拡充となる。

「今着目しているテクノロジーは FireEye,Inc.(本社:米国カリフォルニア州ミルピタス、CEO: Ashar Aziz)のマルウェアプロテクションシステムで、ネットワークセキュリティの境界面において、インバウンドとアウトバウンドの両方の通信の状態を見るもの。例えば、インバウンドであれば、メールに書かれているURLや添付されている未知のマルウェアを、アウトバウンドについては内部から、外部の悪意あるサイトに対して行われる通信といったものを検知するものになります」(手柴氏)

この新しいソリューションでは、大量に収集された「外部の悪意あるサイト」のポート番号やIPアドレスのデータベースと、内部から発信されるデータの通信先を照合。もし、問題があると判断されたら、その通信を遮断するなどの措置をとることができる。また、メールに添付されているマルウェアを判別する際は、他のシステムに影響を与えない「サンドボックス」内で実際に添付されているファイルを開き、その際に起こる「振る舞い」を分析する。そこでの振る舞いに問題が見つかった時はアラートを出すと同時に、添付ファイルの隔離を行うことが可能だという。一般的な実行ファイルに加え、Officeドキュメント、PDFといった多様な添付ファイルの分析にも対応している。

Protection Expertのラインアップに、未知の脅威に対応する標的型攻撃ソリューションが加わることによって、「ツールによる自動防御」と「セキュリティエキスパートのノウハウと適切な対処」、そして「24時間365日の監視」の組み合わせによる防御がより強固なものになるというわけだ。

SCSK SCSカンパニー
IT基盤ソリューション事業部
セキュリティソリューション部
Webセキュリティソリューションチーム 主任
手柴 雄矢氏
公認情報システムセキュリティプロフェッショナル(CISSP)。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。
国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。
現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。