IT関連イベント「IT Japan 2013」で7月5日、トレンドマイクロで取締役副社長 日本地域担当 グローバルコンシューマビジネス担当を務める大三川彰彦氏(写真1)が、企業の情報セキュリティにおける課題とその対策について講演した。
大三川氏は、ここ最近の情報セキュリティの課題を「3つのC」と表現した。1つめのCは「クラウドと仮想化」、2つめは「コンシューマライゼーション」、3つめは「サイバー攻撃」である。
1つめの「クラウドと仮想化」の課題は、パブリッククラウドや仮想環境の利用が増えるにつれて、企業のシステム担当者の負担が大きくなるというもの。具体的には、セキュリティポリシーを見直したり、クラウド上のデータを保護する策を考えたり、サーバーの統合といった新しいスキルを求められたりする負担が増えることだ。そこで、同社が提供する「Trend Micro Deep Security」といった、物理サーバーや仮想サーバー、クラウド上のサーバーを同一基盤で管理・運用できるサービスを使えば、担当者の負担を軽減しつつ、確実なセキュリティ対策を施せるとした。
2つめの「コンシューマライゼーション」とは、従業員のIT利用が多様化しており、システム担当者はそのためのセキュリティ対策が必要になるということ。大三川氏は、「49%の企業がDropboxのようなファイル共有サービスの利用を禁じているのにもかかわらず、従業員の5人に1人がDropboxを利用しているという調査結果がある。もはや無視できない」と指摘した。さらに、従業員のスマートフォンの私物利用(BYOD)で企業内のデータが外部に持ち出されるようになるため、データ保護の対策を施すべきだとした。同社は2013年秋までに、BYODに対応した企業向けデータ保護サービスを提供する予定だという。
3つめの「サイバー攻撃」は、巧妙でかつ執拗に行われる標的型攻撃とした。講演では、同社セキュリティエバンジェリストの染谷征良氏が大三川氏に代わって登壇し、2台のAndroid端末を使って具体的な攻撃手法のデモを見せた(写真2)。デモは、攻撃対象となる企業の従業員の端末にソーシャルエンジニアリングの手法で不正なアプリをインストールさせた、と仮定し、攻撃者は自身の端末から自在に従業員の端末を操作するというもの。特定のSNSサイトに指令を書き込むと、不正なアプリを入れられた端末は画面の表示を変えることなく、録音を開始したり、ローカルに置かれたファイルをインターネットにアップロードしたりした。
大三川氏は、「このような標的型攻撃では、従来型のネットワーク監視や各端末に入れるセキュリティソフトといった対策だけでは不十分で、企業ごとにカスタマイズされた対策も必要になってくる」とした。また、「外部から入ってくる危険とは断定できない“グレーゾーン”のデータは、内部に入った後も監視すること」「たとえマルウエアに感染しても、外部からの攻撃者の指示を受けるためのC&Cサーバーにアクセスさせない対策が必要」と付け加えた。
講演では最後に、日経情報ストラテジー編集長の酒井 耕一氏が大三川氏に対して、「企業のシステム担当者は、スマートフォン対応をどういった手順で行えばよいか」と尋ねた。大三川氏はまず、企業がスマートフォンをどのように活用するのかを考えて、担当者はそれに合わせたポリシーを作成することだと述べた。そして、端末でのセキュリティ対策、ネットワーク監視、重要データの暗号化といった対策を施したうえで、「ユーザー教育を行うことが、最新のサイバー攻撃対策として有効である」と締めた。
