［セキュリティサミット］クラウドやスマホの普及とともに危険が急拡大、その防衛術とは

写真●「モバイルクラウド」のセキュリティなどを議論した、昨年のパネル討論会の様子

[画像のクリックで拡大表示]

　2011年、まだ終えたわけではないが、我々日本人にとって最も大きかった出来事は東日本大震災をおいてほかにないだろう。ただ、その一方で、ネットワークセキュリティについて、極めて重大なインシデントがいくつも重なって起こった年でもある。

　ソニー・コンピュータエンタテインメントのPlayStation Network（PSN）を狙った攻撃と大規模な情報漏洩。三菱東京UFJ銀行のネットバンキングで発生した不正アクセス。安全なはずだった公式Android Marketから配信されたマルウエア「DroidDream」――。どれも、大半の読者の記憶に残っているはずだ。加えて、SSL（Secure Sockets Layer）通信に使うデジタル証明書の偽物が出回ったり、セキュリティベンダーのRSA（現在はEMC）が認証システムとしてはかなり強固な部類に入るワンタイムパスワード製品に関する情報を盗まれたりと、前代未聞と言える事件もあった。

ソーシャルエンジニアリングによる“だまし”が頻発

　これらをざっと見ただけでも、今のICTには様々な面でセキュリティの不安があることが分かる。その中で気になることの一つが、三菱東京UFJの事件のように犯罪者にソーシャルエンジニアリングによる“だまし”を仕掛けられる攻撃である。最近のAPT（Advanced Persistent Threat）と呼ばれる攻撃も、始まりは巧妙なソーシャルエンジニアリング。RSAの事件は、まさにAPT攻撃による情報漏洩だった。APTによるサイバー産業スパイは、それほど表沙汰にこそならないが、既に国内でも例がいくつも見られている。それも大手企業だけではなく、大手の下請け・孫請け企業までが狙われているという。このソーシャルエンジニアリングの際、スマートフォンやソーシャルメディアは、攻撃者にとって非常に便利なツールになる。

　そのスマートフォン、特にAndroid端末向けでは、マルウエアがはびこっている。典型例のDroidDreamは、攻撃者の手によって、ごく普通のAndroidアプリに埋め込まれ（リパッケージされ）、元の正常なアプリとしてマーケットで配布される。ユーザーは単にアプリをダウンロードしているつもりで、知らないうちにマルウエアに感染するわけだ。しかもマルウエアは、OSにバックドアを仕掛け、モバイル環境でボットネットを構成する。

“私物解禁”が情報漏洩や不正アクセスの機会を増やす

　ICTのあるところはどこにでも、何らかのセキュリティの不安がついてくる。しかも、その不安は今後ますます膨らんでいく。大震災の影響から、いま企業ユーザーの間では、クラウドサービスやモバイルの導入が加速しているからだ。一部には、個人所有のスマートフォンを業務に使うことを認める“私物解禁”の動きもみられるようになってきた。こうなると、利便性と事業継続性を高められる半面、情報漏洩や情報への不正アクセスの機会が増える。またユーザーがソーシャルメディアなどを使うようになると、攻撃者にとってはソーシャルエンジニアリングの間口が広がることにもなる。

　こうした状況を踏まえて、企業は今後、情報セキュリティにどう取り組んだらいいのか。そこで今回のパネル討論会「セキュリティサミット」では、大手セキュリティベンダーに参加していただき、クラウド、スマートフォンなどを含めた企業ネットワークのセキュリティの在り方を議論する。最新のセキュリティ動向と具体的な対策、これからの各社の取り組み・戦略、そしてIT担当者が押さえておくべき対策の心得・ヒントが聴けるはずだ。