写真1●カスペルスキー代表取締役兼CEOの加賀山進氏(撮影:新関雅士)
写真1●カスペルスキー代表取締役兼CEOの加賀山進氏(撮影:新関雅士)
[画像のクリックで拡大表示]
写真2●シマンテック代表取締役社長の河村浩明氏(撮影:新関雅士)
写真2●シマンテック代表取締役社長の河村浩明氏(撮影:新関雅士)
[画像のクリックで拡大表示]
写真3●トレンドマイクロ取締役の大三川彰彦氏(撮影:新関雅士)
写真3●トレンドマイクロ取締役の大三川彰彦氏(撮影:新関雅士)
[画像のクリックで拡大表示]

 「今、情報セキュリティで何が起こっているのか。企業は何をすればいいのか」---。東京ビッグサイトで開催中の「ITpro EXPO 2011」において2011年10月13日、『いま、目の前に迫るセキュリティ脅威~ベンダー各社に「スマートデバイス+クラウド」時代の護身術を聞く』と題して、カスペルスキー、シマンテック、トレンドマイクロの3社によるパネル討論会が開催された。モデレータを務める日経コミュニケーションの河井保博編集長による冒頭の問いかけでスタートした。

APT(標的型攻撃)が台頭

 現在のセキュリティの動向として、カスペルスキー代表取締役兼CEOの加賀山進氏(写真1)は、昨今の三菱重工を狙った攻撃のように、特定の組織を狙った持続的で標的型の攻撃(APT:Advanced Persistent Threat)が主流になっている点を指摘。この上で、「世界で初めての攻撃が行われたら防ぐ手段がない」ことに触れ、「攻撃を入り口で防御するだけでなく、振る舞いの検知など、その後の情報漏えいを防ぐ多重の策が必要」と訴えた。

 シマンテック代表取締役社長の河村浩明氏(写真2)は、Stuxnetに代表される、公共インフラの制御システムをピンポイントで標的にした攻撃に触れ、こうした攻撃に対処する方法として、ベンダー製品の導入に加え、実際に組織を形成することが重要と説いた。製品による支援は可能だが、個々のインシデントに組織としてどう対処するのかというワークフローの設計が重要になるという。

 日本の場合は、国防を米国にアウトソースしていることもあり、セキュリティ専門家の数が米国と大きく異なるという(日本の専門資格保有者が1200人に対して米国は40倍の4万8000人)。昨今のソニーへの攻撃も、海外拠点で起こったことであり、日本本土の問題として捉えている人は少なかったと指摘。日本本土がやられることで、こうした認識が変わりつつある、とした。

 トレンドマイクロ取締役の大三川彰彦氏(写真3)は、持参した一覧表形式の資料を示し、2011年3月から9月の半年間にかけての、38件にも及ぶAPT(持続的標的型攻撃)のリストを提示した。金銭ではなく機密情報などの知的財産を狙ったこうした攻撃が、いかに身近にある脅威であるかを示した。

既知の攻撃にやられるのは組織に問題がある

 APTの手口は、公開されているWebサーバーから情報を収集したり、ソーシャルエンジニアリングを駆使したりといった、古典的で地味なものがきっかけとなる場合が多い。これに対する防御策としてトレンドマイクロの大三川氏は、入り口対策(防御)と出口対策(情報漏えい対策)に加え、情報の可視化が重要であると説く。「侵入されても、あやしい動きをチェックして犯人の目的達成を阻止すればよい」(大三川氏)。

 しかし実際には攻撃に遭い、やられてしまっているのが実情だ。この理由として大三川氏は、Webアプリケーションの開発時にアウトソーシングに頼るといった、日本企業における組織面の問題を指摘する。問題が発覚したときに表舞台に出てきて頭を下げるのはサイトを運営する発注元企業だが、実際に開発したのは外注の、そのまた外注といったケースは多い。

 カスペルスキーの加賀山氏も、「初めての攻撃であれば防ぎようがなく、振る舞い検知による多重防御しかない」という一方で、既知の攻撃であるにも関わらず侵入を防げなかったとしたら、それは組織の問題であると強調。「セキュリティは、昔は係長が決める問題だったが、今はCIOが決定する問題」(加賀山氏)。攻撃を許した企業の多くは、係長レベルで決めている企業であるという。

スマホのBYOD(私物解禁)の流れは止められない

 昨今のセキュリティトレンドとして無視できないのが、スマートフォンなどの私物端末を業務に利用するBYOD(私物解禁)の流れである。3社ともに、「BYODの流れは止められない」とする認識の下、スマートフォンのセキュリティポリシーをコントロールする製品技術によって対処しようとしている。

 カスペルスキーの加賀山氏は、スマートフォンを対象としたマルウエア攻撃の本命はボット化であると説明。端末台数が多いことなどが、この理由だ。個人利用であれば、踏み台になっても罪の意識がなく、不都合もあまりない。ところが、企業のスマートフォンが踏み台になると、企業に責任が問われるなど、様相が異なってくる。

 デバイスは、個人所有と会社支給とでは、セキュリティポリシーが180度変わるという。個人所有であれば、会社内では利用できるアプリケーションを制約する必要があるが、外出したら制約はできない。一方で、会社支給であれば、会社内ではすべてのアプリケーションを使ってもよいが、外出したら利用できるアプリケーションを制約しなければならない。

 このように、状況に応じてポリシーを使い分けられることが重要と加賀山氏はいう。「防御だけでなく、コントロール(制御)が重要。コントロールがモバイル時代のキーとなる」(加賀山氏)。

 シマンテック代表取締役社長の河村浩明氏は、バブル経済が崩壊した1991年から20年間の間、ほかの商品にかける金額が減っている一方でモバイル通信のための電話代だけが伸びていると指摘。この上で、将来的には、たった1台の私物デバイスで業務もこなすようになり、この流れは誰にも止められない、とした。