ペンタセキュリティシステムズ(ペンタセキュリティ)が年12回掲載しているセキュリティコラム。セキュリティに関する認識の向上およびセキュリティ文化の定着を支援するために発信され、同社のR&Dセンターが社会一般必要なICTセキュリティとその課題について提言している。9月7日に公開された最新の同コラムは「誰しもするハッキング、対策が盲点だ。」と題し、セキュリティ対策について持ちやすい誤った観点とその改善策について、6月に起きた佐賀県教委の教育情報システムへの不正アクセス事件を引き合いに解説している。

佐賀県教委システムへの不正アクセス事件と不十分な対策

佐賀県教委の教育情報システムへの不正アクセス事件は2016年6月に発覚し、17歳の少年が逮捕された事件だ。

同コラムでは事件のあらましを説明するとともに、ハッキングはいまや専門訓練を受けた専門家だけでなくインターネットで検索ができる者であれば誰でも行うことができる点に注目。今後、技術発展の加速によりWebを悪用する行為もより頻発するだろうと推測している。

佐賀県の不正アクセス事件後にとられた対策として大きく2点、「正常な利用者の端末へのデジタル認証書の追加搭載」「教員のコンピューターへのデスクトップ仮想化の適用と、不正アクセスの遮断」が挙げられている。これに対してペンタセキュリティは対策がアクセスに関してのみである点に着目し、アクセスの面から起こったインシデントに対してアクセスの制限を行うだけではまともな対策とはいえないと見解を述べている。これは、事件の核心はあくまでWebアプリケーションの脆弱性であるということを見逃しているためだということである。

不正アクセスへの対策へ向けとるべき対策とは

どのような問題への対策においても、その失敗は観点が誤っていることにより起こるとペンタセキュリティは語る。では今回の不正アクセス事件については、一体どのような観点から対策を行うべきなのだろうか。

同コラムでは、まずWEBアプリケーションの脆弱性対策においては、安全性の向上とユーザーの利便性はトレードオフであることから折衷案を考えることが必要だとしている。ペンタセキュリティは具体策として、Webアプリケーションファイアウォール(WAF)の活用を勧めている。これはWAFがWebアプリケーション自体の脆弱性や開発者の人間的なミスによる穴を外部攻撃から保護し、Webアプリケーションの利便性を維持しつつ十分な安全性を保障してくれることによるという。

またもう1点、情報漏洩が避けられないものだと捉えられがちであることに触れ、あくまで情報漏洩ではなくあくまで侵入が避けられないだけであると主張している。そのため、侵入への対策には限界があることを前提に、侵入されてもセキュリティ事故において最悪の事態である情報漏洩および漏洩した情報の公開だけは防ぐという態度の転換が必要であるとしている。こうした観点による対策として、ペンタセキュリティはデータ暗号化が有効であると述べている。暗号化を行うことで盗んだ情報を使用不可能とし内容公開を防ぐことができるとともに、暗号化されたデータをあえて盗むハッカーはいないため、不正アクセスの抑止力としての効果も期待できるという。

ハッカーへは処罰だけでなく罪の重さの教育を

全てのハッカーは厳格に処罰されなければならないが、今回の佐賀県での事件の性質を考えると、処罰とともに情報犯罪の悪質さと被害について正確に認知するよう教育することが重要だとペンタセキュリティは言う。多くのハッカーは自分が起こす犯罪がどれだけ悪いことかを十分に認知できないため、情報犯罪に関する対策の土台を築くためにもその罪の重さを説いていくことが重要であるとし、同コラムを結んでいる。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: