中央省庁に対する一連のWebページ書き換え事件や,米国の有力Webサイトが相次いで攻撃された事件をきっかけに,不正アクセス対策に関心を持つユーザー企業が急増している。これを受けて,国内大手ベンダーがセキュリティ事業の強化に乗り出した。グループ企業との協力などで要員を増やす一方,セキュリティ専門技術者の育成策を設ける。他の大手ベンダーやセキュリティ対策の専門ベンダーとの連携も積極的に進めている。
|
| 表1●一連のWebページ書き換え事件以後,大手ベンダーに寄せられたユーザー企業の反応と,各社が注力するセキュリティ対策 |
不正アクセス対策への関心の高まりを背景に,メインフレーマなどの国内大手ベンダーがセキュリティ事業に力を入れ始めた(表1[拡大表示])。グループ企業の技術者と密接に協力したり,専門技術者の育成策を新設してサービス向上を図る。ベンダーの多くはニーズの高まりを一過性のものとは見ていない。「Webページが書き換えられた今回の事件によって,多くの企業は不正アクセスを受けることがいかに不名誉なことかを認識したはずだ。そのため,継続的なセキュリティ対策の強化を求めている」(NECの杉浦昌システム技術部兼システム営業部マネージャー)。
グループ企業と密接に連携
国内大手ベンダーはこれまでも,インターネットの普及に合わせて不正アクセス対策に注力してきた。ファイアウオールなどのハード製品や,不正アクセスを検知するソフト製品の販売,およびこれらの導入サービスなどだ。不正アクセス対策に関するコンサルティングや,セキュリティ用サーバーの運用を受託するアウトソーシングなど高度なサービスの提供も始まっている。このうち,一連の事件以後,最もニーズが高いのが「疑似ハッキング」サービスである。ユーザー企業に対して疑似的に不正アクセスを試み,セキュリティの強度を診断するものだ。
こうした製品やサービスを求める企業が急増したことで,大手ベンダーはセキュリティ担当者の不足に悩まされている。そこで各社は,グループ企業などと積極的に連携して不正アクセスに対応し始めた。
日本アイ・ビー・エムは,米IBMのセキュリティ専門技術者のノウハウの活用を進めている。特に今年に入ってから,両社が協力してサービスを提供する機会が増えたという。「米IBMの担当者はセキュリティに関する技術レベルが高いので,高度な疑似ハッキングを任せるケースが多い」(日本IBMの山x涛Nコンサルティング/ビジネス・サービスセキュリティ・コンサルティング主管コンサルタント)。
疑似ハッキングには,市販ソフトを使って基本的なチェックだけを行うサービスと,本物のハッカーと同様に専門技術者が独自のノウハウやソフトを駆使する高度なサービスがある。後者の場合は技術者の力量がそのままサービスの品質につながる。日本IBMが米IBMの高度な専門技術に期待するのはそのためだ。
NECは「セキュリティ対策の人手不足で,ユーザー企業の要求にこたえきれなくなってきた。完全にパンク状態」(杉浦氏)と切実だ。特に官公庁の事件でファイアウオールの有無に注目が集まったこともあり,「まだファイアウオールを導入していない企業や官公庁から,短期間でファイアウオールを導入したい,という要望が殺到している」(同)。そこでNECは,子会社のNEC情報サービス(東京都港区)やNECフィールドサービス(同港区)の技術者と協力し,ファイアウオールの短期導入を進めている。「依頼から1週間もかからずにファイアウオールを導入したケースもある」(同)。
セキュリティ技術者の育成に注力
|
| 図1●日立製作所が今後注力する不正アクセス監視サービス。ユーザー企業向けのファイアウオールや不正アクセス監視装置を日立のアウトソーシング・センターに収容し,常駐する専門技術者が不正アクセスを365日24時間体制で監視する。Web,メール,DNSの各サーバーの運用も受託する。ただし,ユーザー企業とセンターを専用線で接続するので,通信コストが高くつく場合もある |
日立は,セキュリティ関連の技術者の経歴を審査し,高度な知識やノウハウを持つ“スペシャリスト”を認定している。この制度は1999年4月から続けているが,今後はさらに重要性が増すという。「個々の企業に合ったセキュリティ・ポリシーを策定する,といったサービスには高度な専門知識が必要。社内教育を徹底して,認定者を増やしていく」(日立の角田氏)。
ベンダー同士の提携によってセキュリティ対策のレベルを上げようという動きも出てきた。2月にセキュリティ・サービスの専門ベンダーであるNTTデータ・セキュリティ(東京都渋谷区)を中心に,NEC,日立,日本オラクル(同千代田区),日本シスコシステムズ(同千代田区),マイクロソフト(同渋谷区)など36社(3月3日現在)が提携した。各社はそれぞれの製品,サービスや技術を持ち寄り,今年5月をメドに総合的なセキュリティ対策サービスを商品化する。注目すべきは,損害保険大手の東京海上火災保険がメンバーに入っていることだ。NECや日立など大手ベンダーにとっても,不正アクセス対策に必要なハードやソフト,サービスに加えて,保険商品を同時に提供できるメリットは大きい。
これとは別に,日立,富士通,三菱電機の3社は2月に,不正アクセス防止ソフトを共同で開発したと発表した。APIを共通化し,異なるメーカーのサーバーや通信機器を一括して監視できることが特徴だ。2001年3月までに製品化する。
アウトソーシング・サービスも強化
大手ベンダーは需要拡大を契機に,不正アクセス対策として重要であるにもかかわらず,これまで普及していなかったサービスも強化していく。
日立製作所は同社のアウトソーシング・センター内に,ユーザー企業専用のファイアウオールや不正アクセス監視装置などを収容し,専門の技術者が365日24時間体制で不正アクセスを監視するサービスに注力する(41ページの図1[拡大表示])。ユーザー企業にとっては,こうした機器の運用管理の手間を省くことができる。
日本IBMや富士通は,セキュリティ対策の基本的な方針であるセキュリティ・ポリシーの策定を支援するコンサルティング・サービスを積極的に推進していく。主に,ファイアウオールの設置など基本的な対策がすんでいるユーザー企業が,セキュリティ上の問題点を再確認できるようにする。具体的には,ユーザー企業のシステム環境で不正アクセスによる脅威は何か,どの程度のリスクがあるか,日常的な対策として何が必要か,といったことを分析する手助けをする。日本IBMの山x梼≠ヘ「EC(エレクトロニック・コマース)を手がける企業にとって,対外的な信用を保つうえでセキュリティ・ポリシーの策定は極めて重要」と指摘する。
サービス妨害攻撃にも対抗策
|
| 図A●米RSAが開発した,サービス妨害攻撃からWebサーバーを守るための仕組み。Webサーバー側のプログラムが攻撃中のコンピュータに対して計算問題を出題し,正解が返信された場合だけ接続を許可する。攻撃中のコンピュータは絶えずアクセス要求を送り続けているので,回答を計算する余裕がなく,通信を確立できない。このため攻撃を続行することが不可能になる。正規のユーザーが利用しているコンピュータはわずかな時間で回答を計算できるので,接続することができる |
この分野では米国のセキュリティ専門ベンダーが先行している。例えば,米RSAセキュリティは今年2月にサービス妨害攻撃対策用のソフトを発表した。この製品は,Webサーバー側のソフトと,Webサーバーにアクセスするコンピュータに搭載する専用のプラグイン・ソフトから成る。プラグインがないと,Webサーバーにはアクセスできない。Webサーバー側のソフトは,攻撃中のコンピュータに負荷をかけることで,攻撃の続行を阻止する。
具体的には,アクセス要求があるたびに,Webサーバーが複雑な計算問題をアクセス元のコンピュータに送りつける(図A[拡大表示])。アクセス元のプラグインは,受け取った問題の回答を計算する。Webサーバーは,問題の回答を返信してきたコンピュータとしか通信を確立しない。大量のアクセス要求を送信し続けている攻撃中のコンピュータは,膨大な計算問題の処理にプロセサが使われ,攻撃の続行が不可能になる。正規のユーザーにも同様の計算問題が送られるが,処理が一瞬遅くなる程度で,問題なくWebページを閲覧できる。
