NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

JNSAメンバーが語る2011年情報セキュリティ総括!〜東日本大震災から標的型攻撃・APT・スマホ・クラウドまで自由討論〜

年末押し迫る2011年12月5日、JNSAで活動する幹部有志による「2011年の情報セキュリティ事象について自由に語ろう!」という趣旨の座談会をJNSA事務局1階会議室にて行いました。情報セキュリティの最先端で働く方々による約2時間にわたる活発な発言の中から、今年度の情報セキュリティを振り返ってみたいと思います。
出席者: (五十音順)
  高橋 正和  日本マイクロソフト株式会社(座長)
  加藤 雅彦  株式会社インターネットイニシアティブ
  小屋 晋吾  トレンドマイクロ株式会社
  下村 正洋  JNSA事務局長(株式会社ディアイティ)
  中尾 康二  KDDI株式会社
  西本 逸郎  株式会社ラック
  二木 真明  SCSK株式会社
  前田 典彦  株式会社カスペルスキー
レポート執筆:
  冨田 高樹  みずほ情報総研株式会社
  稲場 未南  みずほ情報総研株式会社

高橋【高橋】 本日はお忙しいところありがとうございます。本日の司会を務めさせていただきます、日本マイクロソフトの高橋です。今年の総括ということだそうなのですが、2011年は色々なことが起きました。東日本大震災、クラウドやスマートフォン・SNSの普及、標的型攻撃・APTやハクティビズム、電子認証局への攻撃や、ワンタイムパスワードの秘密鍵の漏えい等もありました。まさに時代のターニングポイントになったような年だと思いますが、皆さんにとってはどのような年でしたか?

加藤【加藤】 地震は本当に大変でした。東北はもちろん首都圏まで含めて、近年まれな非常事態が発生したのは間違いないでしょう。そうした中で、ITのあり方が改めて問われたように思います。交通が大幅に規制され、携帯電話が使えなくなる一方、twitterなどインターネットをベースとしたサービスはなんとか持ちこたえ、その上で活発な情報交換がなされました。被災時に何が役に立ったのか、これまでの方向感、位置づけは正しかったのか、これまで漠然と考えられていたことを確認する場となったのではないでしょうか。

【前田】 当社にとっての今年の重大事はAPTでした。アンチウイルスベンダとしては、APTをウイルス対策ソフトで防げないことを説明するのが本当に大変でした。検体の情報に関しても、報道を通じて初めて知ったものもあるなど、情報が入ってこないことに困りました。

【高橋】 今まで、セキュリティ対策の基本はウイルス対策ソフトとされてきたのが、主役ではなくなったのかもしれませんね。

【加藤】 今まで、セキュリティはしばしば二元論で語られてきました。対策が必要か、不要か。攻撃は防げるのか、防げないのか。ところが、それが区別できなくなってきた。

【高橋】 標的型攻撃はもはやマルウェアとしてではなく、ハッキングして対処すべきものでしょう。

【二木】 APTからの攻撃は合わせ技のようなものですから。

東日本大震災について

【高橋】 地震に対して、私が抱いたのは無力感です。ここのところグローバル化の流れの中で、いかに最適化し、投資対効果を高めるかという議論が主流でした。それが、今回の地震に対する災害復旧は、まさに日本の企業にとっては想定外、投資対効果の枠外の事象であったかのように思います。一方で、ITリテラシーが地方にはまだ十分に展開されていないことも明らかになりました。パソコンを使える人がいなかったため、役場で陣頭指揮を執るべき人が、ひたすらエクセルの入力をしていたという話も聞きます。みなさんはどのようにお感じになりましたか?

【加藤】 ITは被災者への情報提供のラストワンマイルを支援する人達には役に立ったのではと思っています。

【二木】 津波の被災地とそれ以外の場所の感覚が随分異なるように思いました。東北大学では震災直後にサーバラックがひっくり返るなど大変でしたが、一週間程度で復旧することができたそうです。一方で、学生は家が流されてしまったため、いくら大学のサーバが復旧しても、アクセス手段そのものがなくなってしまいました。そうした中、石巻専修大学ではテキストで安否確認ができるシステムを独自に作ったところ、その利用が最も多かったそうです。被災地のラストワンマイルは携帯電話が最初に復旧しました。こうしたことを考えると、災害用のコンテンツは携帯電話向けに作ることが大切だと感じました。

【高橋】 最近のWebコンテンツのリッチ化は、そのようなハンドリングを難しくしているところがありますね。

【西本】 都内で携帯電話が通じなかったのは発信規制がかけられていたからですが、規制されている間に行われた発信について、分析や評価はされたのでしょうか。

【下村】 計画停電の影響はいかがでしたか?

【西本】 計画停電そのものの影響よりも、「停電するぞ、するぞ」という“無計画停電”の予告の影響で混乱しました。結果的に、当社でも在宅勤務を実施しました。

【高橋】 データセンターでの燃料の確保も大変だったようですね。

【二木】 情報が錯綜していました。メディアですら不正確な情報を流していたように思います。情報セキュリティにも関係するところですが、どうすれば正確な情報を流せるものかと思います。

【高橋】 福島第一発電所の事故の際、アメリカが自国民を対象に半径80km圏内からの退避勧告を出したことを皆で大げさだと言っていたわけですが、放射線の影響が方向によりかなり遠くまで及んでいることがわかった現在から考えると、正しい判断だったように思えます。アメリカには災害を想定したプロシージャがありましたが、日本はなかったために判断ができませんでした。

【西本】 もっとも首都圏で同じことが起きた場合、そのようなプロシージャがあったとしても、80kmの範囲で退避命令が出せるかというと。

【高橋】 あのような災害が起きたときに、どうするかが事前に決まっているかどうかが重要です。よく西本さんもおっしゃっているように、「最悪なことが起きてから考えてはダメだ」ということです。原子力の場合は安全神話があったことで、避難のプロシージャを作れなかったということが言われています。

【二木】 日本でも原発作業用のロボットが開発されていたにも関わらず、使う機会が無いからといってお蔵入りしてしまった例もありましたね。

【西本】 「安全です」と言われたら、それ以降の思考が停止してしまう風潮はいけません。

【二木】 情報セキュリティにも似たところがあります。

【高橋】 「日本人幻想」というものがあるのではないか、と思っています。例えば、ロサンゼルスで高速道路が崩壊したとき、日本はそれほど雑ではないのでありえないと言われていましたが、阪神大震災では同じことが起きてしまいました。

【二木】 チェルノブイリ事故が起きたときも、日本ではこんなことは起こらないと言われていました。一方で、アメリカやロシアは、チェルノブイリ事故を機に原発の見直しをしていたわけです。

【高橋】 「日本人だから大丈夫」と言った時点で、ロジックではなく、感情論になってしまっています。「失われた10年」で生じた自信のなさと、日本人だからという自信のアンバランスさが気になりました。

【小屋】 日本人に限らず、どこかによりどころを求めてしまうのが人間の真理なのかもしれません。

標的型攻撃・APTについて

小屋【西本】 最近APTについての取材で、メディアは必ず「日本はなぜこんなに脆弱なのか」と尋ねてくるので、そのたびに腹を立てています。日本だけが脆弱なわけではありません。日本に決定的に不足しているのは攻撃力であって防御力ではない、攻撃力がない中で守らなければならないという状況がいびつなのであって、大変なのだという話をしています。

【小屋】 私も同じようなことをラジオで話しました。

【高橋】 実は、私は日本が脆弱だと思っています。日本人はパソコンをOA機器として使っており、戦略的なプラットフォームとして考えていないからです。電卓と考えている限りはパッチを当てるという発想はないのではないでしょうか。

【西本】 そういう考え方はあると思います。しかし、世界的にみるとパッチの適用率は日本より低い国のほうが多いですね。

【高橋】 両面あると思っています。日本のウィルスの感染率は極端に低い。なぜかいびつなのです。

【二木】 日本で起こる前に、アメリカでAPTによると思われる標的型の攻撃がありました。しかし多くの人は対岸の火事だと思っていました。

【西本】 未だに「日本語の壁」で守られていると思っている人もいますね。

【高橋】 その一方で、誰かに頼る姿勢、しかも事後に、というのがあるのはよくないと思っています。

【二木】 標的型攻撃に対処していくにあたって、専門家だけで対応できるかと言えば、そんなことはありません。専門家がやるべきレベルはもっと高いところにあるはずなのに、実際に何かが起きると、もっと低いところから含めて面倒を見させられるのが現実です。今行うべきベストプラクティスすら正しく実施されていない中で、標的型攻撃に対応しようとしても、それは無理でしょう。

【高橋】 APTの話も二元論になりがちですが、標的型攻撃には今までの対策では対応できないというと、「完璧にしろ」という声が出ます。しかし、現在は素人にも喧嘩で勝てないのに、いきなりプロに勝とうとしている状況です。まずは素人にいかに勝つかを考えないと。

【二木】 攻撃のステージが上がっています。一般のIT管理のベースとして情報セキュリティ対策を組み込んでいかないと、日本中の専門家が対応しても対処しきれない量になっています。

【西本】 おっしゃる通りで、各企業ができることをやる必要あります。実際、標的型攻撃の被害を生じさせている企業は、システム管理のレベルが低いように感じます。システムやネットワークの管理はできているが、セキュリティを意識した運用に関する知見が無いために、明らかにその部分を突かれています。

【高橋】 アクティブディレクトリにしても、ポリシー統制をするための機能として使われておらず、単なるLDAPサービスとして用いていることが多いですね。

【西本】 そもそも管理者権限とは何かを、管理者がわかっていない場合もあります。

【二木】 我々が自分の仕事をするために必要なのは、IT技術者のセキュリティ教育ですね。

【西本】 その通り。管理者の責任が重要と思います。ITを使っているということがわかっていない。

【二木】 こうした状況で標的型攻撃に対抗しようとすると、砂上の楼閣をつくることになりかねません。すなわち、どれだけ高度な対策を導入しても足元が崩れてしまって意味が無い。基本的な部分の対策ができていないわけですから。

【高橋】 売るほうも分かり易いので、ハコモノを入れようとしますしね。

【下村】 日本の企業は、特権を持った人が自らに対するけん制機構をつくることを嫌う傾向があります。けん制機構を作ることが自分のためになる、すなわち自分が負うべき責任の範囲を示すことになるのに、わかっていないのですね。

【高橋】 製品提供側の状況はいかがですか?

【小屋】 当社は数年前から、パターンマッチング競走には参加していません。見つけたところで意味がないからです。パターンマッチング以外の方法で新しい検体を見つけてから、パターンファイルに返すまでの一連のスキームを素早く行うことで競走しています。当社だけでは対処できませんが、限られた条件の中で有効性の高い対策を提供することができていると思います。

【高橋】 アンチウイルスの位置づけはどう説明されているのでしょうか?

【小屋】 守るべきエリアが拡大したため、ウイルス発見ツールの役割が小さくなっただけだと考えています。アンチウイルスに参入する企業が増える一方で、手法がパターンマッチング1つだけでは足りなくなってきました。

【高橋】 分かっているものに対処することが大切であるものの、今は分からないものの割合が増えているという状況ですね。分かった瞬間に対処している。

中尾【中尾】 新しいウイルスは内部に侵入して活動し、内部をスキャンして外部へ発信しますね。感染したあとの挙動をいち早く察知して対策をすることに重きをおくことが、現在の標的型攻撃には必要なのではないでしょうか。

【二木】 見つけるのは非常に難しいと感じています。今回思ったのは、本当に大切な設備はインターネットにつながるネットワークに接続してはダメだということです。ただし、接続していなくても感染することはあるので、デフォルトのルートを監視しておく必要があります。

【高橋】 インターネット広告がそのあたりを難しくしています。想定外のところへ日々変わりながらアクセスしていく仕組みになっているため、どんな通信が行われているのかについて、利用者はほとんど実態を把握できていないのではないでしょうか。

【中尾】 過去に、一般的に外向きによく接続している通信を正常値として、それ以外につなぐとアラームを出すシステムがありました。それを今もう一度見直してみるやり方もあるのではないでしょうか。

【二木】 それは「言うは易し、行うは難し」のように思います。実際に試みたこともありますが、誤報が多く、それに忙殺されてしまうことになりかねません。

【西本】 今は、情報資産管理のポリシーからも、検体の共有をしにくい状況になっていますね。正直、PDFのままではアンチウイルスベンダには出せません。そうした情報を共有するセンターを国でつくればよいのかもしれませんが、やればやるほど出ないでしょう。

【中尾】 上手くアノニマイズするやり方はないものでしょうか。

【高橋】 一つのキーワードになるのが、「ブラックリスト化からホワイトリスト化」だと思います。全部をピンポイントに合わせるのは難しいですが、正常の幅を狭めるという考え方です。正常値をある程度の幅に狭めることができれば、異常検知ができるようになるのではないでしょうか。

【中尾】 その通り、アノマリ・ディテクションの基本は正常値の定義ですね。

【西本】 外部から操られている部分は、比較的機密度が低い部分。つまりホワイトリスト化が難しい分野です。ホワイトリストが必要なところはもともと限られているのではないでしょうか。

【高橋】 Windowsフォルダとプログラムフォルダ以外は実行できないという設定は効果があります。こうしておけば、感染しても基本的には実行できません。しかし運用は厄介になります。ホワイトリスト化すると、アプリケーションを随時インストールするようなことはできなくなります。それでも、ゼロデイや標的型で感染することが許されないような環境においては、ホワイトリスト化を考える必要があるのではないでしょうか。

【二木】 今までのように、大きな会社全体でセキュリティ対策も一種類というのではもはや無理です。大事なものは隔離する必要があります。ホワイトリスト化を会社全体に適応しようとするとビジネスの足を引っ張ることになるので、区分けをすることが重要でしょう。

【中尾】 同感です。一般の環境でホワイトリスト化をするのは現実的ではありません。

【高橋】 実はライセンス管理への効用もあります。IT部門が使ってよいパソコンを定義し、運用しやすい形で例外ルールを設けた方が本当はよいのではないでしょうか。入ってきたマルウェアがどのように特権を取得していくかは意外に複雑ですので、ホワイトリスト化をがっちりやることは難しいけれども、正常の範囲を狭めることは大切だと思います。

【二木】 制御系システムはホワイトリスト化による対処が必須だと思います。

【高橋】 今回の一連の動きを通じて、境界領域防御の効果が薄くなったと感じています。そうしたときに次の境界領域として、ノードレベルでの対策が必要でしょう。これからはイントラネットの中も安全ではないことを前提として制御することが大切です。

【西本】 物理的に侵入されて、機器を偽物に交換されてしまった事件もありましたね。このほか、最近のスイッチなどにはサーバ機能を持つものもありますが、そうしたサーバが勝手に使われるケースもあるようです。

スマートフォンの情報セキュリティ対策について

前田【前田】 今年はスマートフォン、特にAndroidのセキュリティについて教えて欲しいという話が多かったのですが、深刻さの度合いとしては低かったように思います。

【高橋】 深刻さの度合いが低いことを、どのように捉えていますか。

【前田】 Windowsのマルウェアと比べれば、技術的には大したことはありません。多くのAndroidのマルウェアはアプリケーションをダウンロードしなければ、防げる程度のものです。しかし、まだ何も対策をしなくても良いのか、と聞かれるとそうとも言えませんね。

【高橋】 感染というよりはインストールをいかに防ぐかですね。一方で、2要素認証における認証手段としてスマートフォンを使うことも多いわけですが、ヨーロッパで話題になっているmTANの話は怖いですね。mTANをAndroidに送ったものをフックして悪用するという。

【前田】 SMSを使って認証する手軽なサービスで、ヨーロッパを中心に流行っているものですよね。その話を聞くといつも、日本はまだまだスマートフォンを活用していないなと思います。

【加藤】 スマートフォンのマルウェアには、通信経路が2つあります。メッセージは、SMSでも、インターネット経由でも出せます。そうした意味で、スマートフォンは通信経路を使い分けるので、ある意味でパソコンより厄介です。SMSでやり取りされてしまうと、パソコンからモデムで直接通信しているようなもので、対処はしにくい。

【西本】 管理ソフトもSMSを使ったりしていますよね。

【下村】 SMSはサービスとしては便利なんですけどね。

【西本】 海外からSMSで送ってくれるサービスは、ものすごく安い。

【下村】 SMSには個別認証ができたり、到達確認ができるというメリットもあるので、いずれこうした機能を活用したサービスが日本でも流行ると思います。通販業者などはこのシステムに興味を持っていると聞きます。

【前田】 サービスインフラが日本は未発達なので、まだ流行っていないということでしょう。

【高橋】 日本での被害額が少ないからかもしれません。ヨーロッパでは大きな問題になっています。

【前田】 アンチウイルスベンダの側からみても、実際にSMSを使ったサービスを提供している国のほうが、被害額が具現化してきている感じですね。

【高橋】 共通プラットフォームになった途端に増えています。2008年にドイツでフィッシング対策が義務づけられたときに被害額が減ったのですが、昨年のデータを見ると2008年当時の水準よりも被害額が大きくなっています。非常に複雑なので、フィッシングされている側も何をされているのか分からなくなっています。一方、これと組み合わせれているのが、マン・イン・ザ・ブラウザ(MITB)のインジェクションです。これは、ブラウザのデバッガとして張り付いて、スマートフォンの番号や機種を入力させるフィールドを追加してしまうものです。SSLで証明書を使っており、サイト名もそのままなので、それを信用して番号を入力すると実は全く別物ということが起きます。これもやはり、「セキュリティを高めるためのソフトをインストールしないと銀行取引が出来なくなる」という手口を使っています。ワンタイムパスワードで照合した上で、EV-SSLでブラウザが安全と表示しているので、これなら信じてしまっても仕方が無いというものです。APT的手法、つまりマルウェアのパーツ化と多段化がこれにも使われているわけです。さきほど、APTはハッキングと言いましたが、これは詐欺行為に近いと言えるでしょう。

プライバシー問題について

二木【西本】 最近話題のライフログの問題ですが、あれは開発モジュールとして携帯電話に組み込まれた部分に入っており、従来の日本の携帯電話であれば総務省がチェックしていたと思うのですが、海外製のスマートフォンには誰も責任を負っていないのですね。

【二木】 フィーチャーフォンの場合は総務省がキャリアを通じて押さえていたのに、スマートフォンになったら全くの管轄外になってしまったという話を聞きましたが。

【西本】 これも縦割り行政の影響ですね。実際、それぞれの縦割りの中で別個に個人情報保護のガイドラインを作っているわけなので、今後医療などでも起こりうることだと思います。

【高橋】 そうした点を踏まえると、今年はプライバシー問題に関しても動きがあったと言えますね。

【西本】 最近、facebook上で自分が読んだ本についてのログを作る動きが流行っているようですが、どんな本を読んだかは相当のプライバシー情報だと思います。

【二木】 プライバシーはかなりのところ、本人に依存するわけです。本人が自分からリスクを承知して公開する分には別に問題は無いでしょう。

【西本】 問題は無いけれども、実はそれは自分の頭の中を探られていることになるわけで、ライフログの中でも強烈な部類に入るように思います。最近スマートフォンで話題になった居場所ログなみのプライバシーではないでしょうか。

【二木】 プロファイルしようと思えばできてしまうので、そのリスクを織り込んでやっているかどうかだと思います。そうした情報を勝手に出すようなアプリケーションがあるといやですね。

【西本】 そこで集めた情報を何に利用するかですが、それがよくわからない。

【下村】 パスワードのヒント情報は、facebookのプロフィールを見るとかなりわかってしまうと聞きます。そうした研究も進んでいるようです。

【二木】 そこはまだ十分に認知されていないところかもしれませんね。

クラウドサービスの情報セキュリティ対策について

【高橋】 クラウドの情報セキュリティに関する話題は、昨年までは最も熱いテーマだったのですが、震災と標的型攻撃の影響でどこかに飛んでしまったかのようです。

【小屋】 クラウドは震災を通じて、BCPの観点から使うべきという風潮になりましたね。

【西本】 そうはいっても、カレログも、ケルベロスもクラウドサービスです。要はクラウド側の相手を信じるかどうかですが、現状ではいちいち相手を評価して使うかどうかを決めている人は、誰もいないのではないでしょうか。

【加藤】 おそらく、クラウドのセキュリティに関する話題がなくなったわけではないでしょう。ほかに目立ったものが出てきたため、先頭集団から見えなくなっただけだと思います。

【小屋】 震災を機に、自治体も一斉にクラウド利用の検討を始めました。

【二木】 今回の震災で、このような災害が、ITにどれほどインパクトを与えるかがわかったような気がします。これまでBCPとしてやっていたこととはプライオリティががらりと変わってしまったような気がします。

【西本】 武雄市がWebサイトをfacebookに移行しました。自治体としては適切なクラウドにサービスを集約するのもひとつの手だと思いますが、本来は自分たちの地域をどうするか、その中でITを武器としてどう使うかを考えた上で判断すべきものです。そうしたところまで発想が至っている自治体は少ないように思います。

【高橋】 私がお客様のところに行くと、クラウドサービスへの移行によって、IT部門の役割は変わる、より経営パートナーに近くなるので、扱う問題の抽象度を上げる必要があるという話をしています。しかしながら、実際には逆に抽象度が下がり、よりボトムに近いところの話をしているような印象を受けます。

【西本】 先日、国内の一部自治体が利用しているクラウドサービスがDDoS攻撃を受けて麻痺しましたが、DDoSともいえないような粗い攻撃であって、原因もパッチを適切に適用していなかったことのようです。それではダメだということですね。

【二木】 これは全くクラウドの問題ではありませんね。

【西本】 にも関わらず、クラウドの問題と騒いでいる人がいるのが困ります。

ハクティビズムとその周辺課題について

西本【高橋】 ハクティビズムに関してはいかがですか?

【西本】 ハクティビズムといえるかどうか別として、内部告発が増えています。一般的に報道されていませんが、普通の企業での告発が増えています。

【高橋】 富士通の社長辞任事件や、今回のオリンパスは報道された事例ですね。

【西本】 株価への影響を考えると、今後会社の乗っ取り手段として使われることもあるかもしれません。

【二木】 内部告発が増えているとしたら、社員の帰属意識が変わってきていることの現れかもしれませんね。

【高橋】 ソニーに対するAnonymousの攻撃では、企業グループと企業経営のギャップが問題になっていたように思います。カンパニー制をとっているので、当初は子会社の問題と捉えていたと思うのですが、、結果的には本社というか全社的な問題として扱われていました。これは企業ガバナンスではなく、企業グループガバナンスの問題なのだと思います。

【小屋】 情報漏えい事件に関して、メディアによるスクープが多いのが不思議ですね。

【西本】 最近で自ら公表したのは総務省だけでしょう。

【高橋】 省庁の場合、緊急対処のための予算が組まれていないのが、速やかな対策実施のネックになりますね。

【下村】 やはり、起きてはいけないからでしょう。

【二木】 それは情報セキュリティの一番のジレンマですね。社内のセキュリティ担当者が現状では防ぎきれない攻撃を見つけたとき、それに対処するための予算やリソースを申請すると「そうしたことが起こらないようにお前がいるのだろう」と言われたりするわけです。

【西本】 合理化すると単一障害点が増えます。これは人材育成においても同じで、後進の育成をせずに合理化の一環として人材を切り捨ててしまう会社があります。収益性が高い会社は上手くやっているようです。IT化は収益の拡大よりも、合理化や費用削減を目的として行われる場合が多いので、そこに費やしていた人材は育成継承されずに切られてしまう、という負のスパイラルになってしまっています。

【高橋】 最後にまとめてみます。東日本大震災は、ITに関する障害や活用例を通じて、本当に日本の役に立つのかというITの在り方を考える機会となりました。課題としては、災害対策が投資対効果の外側の話になったとき、どう折り合いをつけていくのかということです。APTは非常に大きな話で、これまでのセキュリティ対策を見直すきっかけとなりそうです。そのひとつがアンチウイルスの位置づけが問われたことです。パターンマッチング以外の新たな方法で検知する必要が高まっていること、感染の初動をいち早くキャッチするアノマリ的な検知が必要なことを認識しなければなりません。ひとつの方向性としては、目的を限定したホワイトリスト化が視野に入ってきます。スマートフォンは、現状ではいかに不正なソフトウェアのインストールを防ぐかが重要です。プライバシーの問題では、位置情報の問題などが指摘されました。クラウドのセキュリティ対策に関しては、引き続き粛粛と監視していきたいと思います。DDoSについては、弱すぎるシステムが発覚したことが話題となりました。これはクラウドの脆弱性ではなく、運用の問題です。ハクティビズムの問題では、企業グループガバナンスの問題が浮かびました。ご参加いただいた皆様、貴重なお話をありがとうございました。

【一同】 ありがとうございました。

 


↑ページトップへもどる