新たな手口に対応するセキュリティソリューション

2005年も後を絶たなかった情報漏洩事件・事故

日経ソリューションビジネス

2005.12.30

　個人情報保護法が2005年4月1日に完全施行されてから、早くも9カ月が経過した。ユーザー企業は法令順守のためにセキュリティ対策に取り組んでいるが、4月以降も情報漏洩事件は後を絶たなかった。特に「SQLインジェクション」などによる外部からの不正アクセス、スパイウエアやフィッシングなどの新たなセキュリティ被害も相次いで発生し、内部だけでなく外部からの脅威に対する対策の必要性が、再びクローズアップされている。
　個人情報保護法施行後に、改めて浮き彫りになったセキュリティの様々な盲点。こうした状況を踏まえ、2006年にはどんなソリューションをユーザー企業に提案すべきか、その最新動向を追った。

　「個人情報保護法元年」と呼べる2005年。法律施行によって、個人情報漏洩事件・事故が激減したかといえば、その気配は一向に感じられなかった。新聞紙面などには、「顧客情報流出」などセキュリティ被害の見出しが、ずっと躍り続けたからだ。

　NRIセキュアテクノロジーズ（東京都千代田区、寺田洋社長、NRIセキュア）の「企業における情報セキュリティ実態調査2005」によると、2005年4月時点でユーザー企業は、パソコンやサーバーのログ取得ツールや暗号化ツールなど内部からの情報漏洩を防止する仕組みの導入に意欲的だった＊。

　今年発生したセキュリティ事件・事故で、依然として内部犯行による情報漏洩もあった。だが、目立ったのは、Webサーバーが不正アクセスを受けたり、フィッシングやスパイウエアなど外部からの攻撃で個人情報が流出するケースが多かったことだ。

　こうしたセキュリティ事件・事故を踏まえて、内部と外部の両面で、セキュリティ対策の提案をする必要がある。

Webアプリが狙われる手口も巧妙化

　「特にWebアプリケーションが狙われる傾向がある。当社にも、Webアプリケーションの脆弱性を根本的に見直すために、検査を依頼する顧客が多い。実際に検査をすると何らかの脆弱性が見つかる」。三井物産セキュアディレクション（東京都千代田区、野村一洋社長、MBSD）の伊藤良孝技術担当執行役員事業開発センター長が話すように、Webアプリケーションの脆弱性を狙った不正アクセス事件が多発した。

　Webアプリケーションに脆弱性があれば、外部から不正にデータベースを操作する「SQLインジェクション」などの標的にされてしまう。「SQLインジェクションは、機関銃のように攻撃を仕掛けてくる。情報を取られたことに気がついていない企業も多い」と、ラックの西本逸郎取締役執行役員SNS事業本部長は指摘する。

　外部からの不正アクセスを防止するための手段として、ゲートウエイ対策のファイアウオールが普及している。しかし外部からの攻撃は、今後ますます手口が巧妙化することは間違いない。

　ユーザー企業の間でも、ファイアウオールだけではなく、新たな脅威に備えてセキュリティ対策を強化する動きが出始めている。

　常磐大学（茨城県水戸市）は、学内ネットワークにチェック・ポイント・ソフトウェア・テクノロジーズ製のファイアウオールソフト「FireWall-1」を1995年から導入しているが、これに加えて2004年8月には新たな脅威を防ぐ「SmartDefense Service」を、2005年4月には外部から持ち込まれた有害なパソコンを隔離する「InterSpect」を導入した。

　常磐大学情報メディアセンターの根本知計氏は、「ファイアウオールだけでは防ぎきれない脅威もある。様々な危険から守るために、次々と対策を講じていかなければならない」と、セキュリティ強化を推進する。

WAFの需要が拡大へ

　Webアプリケーションへの不正アクセスを防止するためのセキュリティ対策製品やサービスも次々に登場し、市場拡大の兆しを見せている。その1つがWAF（Webアプリケーションファイアウオール）と呼ばれるWebアプリケーション用のファイアウオール製品だ。

　アークン（東京都千代田区、渡部章社長）は、米インパーバが開発したWAF製品「SecureSphere」最新版の販売を2005年11月から開始した。SecureSphereには「ダイナミックプロファイリング」と呼ばれるWebアプリケーションやデータベースの変化を自動的に学習する機能を搭載しており、IT管理者が手動で設定をしなくても新種の攻撃も防ぐことができる。最小構成の価格（税別）は、465万円から。アークンは、Webアプリケーションの監査サービスを提供する企業と協力してSecureSphereを販売したい考えだ。

　ラックは、2005年12月にセキュリティベンダーの日本エフ・セキュア（横浜市、渡邊宏社長）とWebアプリケーションのセキュリティ対策ソリューションで協業を開始した。Webアプリケーションへの攻撃を防ぐ定義ファイルをラックが開発し、日本エフ・セキュアのセキュリティアプライアンス製品「F-Secure Site Guardアプライアンス」に搭載する。ラックは2200社以上の企業に対して実施したWebアプリケーションのセキュリティ診断サービスのノウハウを、定義ファイルの開発に生かす。「今後、WAFの需要は伸びる」と西本取締役は見る。

　このほか、Webアプリケーションの脆弱性を早く、安く診断するサービスも登場している。MBSDは、Webアプリケーションを検査する「WebSec検査サービス」に加えて、2005年6月から「ホームページ安全点検サービス」を18万9000円（税込）で提供している。Webサイトの安全性についてセキュリティコンサルタントが点検し、必要な対策を提案する。京セラコミュニケーションシステム（京都市、森田直行社長、KCCS）は、2005年10月から脆弱性診断サービス「Quick Plan」を開始。29万4000円（税込）で認証や課金など重要なポイントを診断し、速やかに診断結果を出す。KCCSはオプションサービスとして、ネットワーク診断や診断報告会も用意している。