情報セキュリティ事故の原因と対策が「昔から変わっていない」

2015/02/09

今回から何回か連載でコラムを書くことになりましたので、自分の情報セキュリティとの関わりを簡単に説明します。

1993年にコンサルティング会社に就職し、2000年以前から、いくつかのプロジェクトで情報セキュリティには関わっていました。2000年に自分の専門にしようと情報セキュリティに本格的に取り組み始め、2005年「情報セキュリティに専念したい」との理由でセキュリティ製品を扱うソフトウェアベンダーに転職、その後、インフォセックに転職しました。情報セキュリティコンサルタントとして数多くのプロジェクトに関わっていましたが、2010年に独立・起業し現在に至っています。

本格的に情報セキュリティに取り組み始めた15年前の2000年当時のことを思い起こすと、情報システムの構築形態がC/S型からWebアプリケーション型が主流へと転換する過渡期であり、インターネットを利用した業務システムが本格的に展開され始めたころです。
(2000年にジャパンネット銀行が営業を開始)

情報セキュリティについてはISMSの前身で国際規格になる前のBS7799が1999年に発行、2000年にISO17799になったときであり、情報セキュリティが世間に注目され始めたころでもありました。


「狙われる情報システム」、「攻撃」、「守り」は変わった・・・

その2000年の頃と現在を比べるとセキュリティに関する状況は変わりしました。
情報システムにおいては、ネットワークは高速化し、モバイルネットワークも普及し、取り扱うデータ容量も膨大になりました。現在ではスマートフォンやクラウドサービスが当たり前のように個人や企業で利用され、企業の情報システムは比較にならないほど複雑化が進みました。

情報システムに対する攻撃は、表現が適切でないかもしれませんが、2000年当時と比べ現在は「質(攻撃手法)」と「量(攻撃回数)」が充実し、攻撃の目的も変化しています。攻撃方法は、フィッシング、ファーミング、標的型攻撃、パスワードリスト攻撃など多種多様です。以前はスパイウェアという用語が今ほど聞くこともなく、検知されないコンピュータウィルスが話題になることも少なかったと思います。 攻撃の目的については、以前であれば愉快犯による攻撃であることが多かったのですが、現在は明らかに営利を目的とした攻撃が多くなり、さらには国家が攻撃をしてくるようにもなりました。

攻撃側の技術に対して防御する側の情報セキュリティの対策技術は、アンチ・ウィルス、Firewall、ディレクトリ、ベーシック認証、SSLは以前から一般的に使われており、ワンタイム・パスワード、ICカードによる認証も使っていたところもありました。WAF、IDS、IPS、SIEM、リスクベース認証といったあたりはまだ無かったか、あったとしてもほとんど利用されていない状態だったかと思います。 暗号化アルゴリズムは、DES、TripleDES、MD5、SHA1といったものでしたが、今ではAES、SHA2に変わり、RSAアルゴリズムは鍵長が随分長くなりました。 このように、情報システム、攻撃側、防御側は以前とは変わってきています。


事故は続く・・・

また、現在は「情報セキュリティ事故は発生している」というよりも、増え続け頻発している状況です。2014年に発生した情報セキュリティ事故として大きなものは、米国の流通業でのレジからのクレジットカード番号漏えい、某教育関連会社の個人情報漏えい、映画会社の大量情報漏えいなどがあります。小さな情報セキュリティ事故であれば、それこそ毎日のように発生しています。他にも標的型攻撃による防衛産業関連企業への不正アクセス・情報漏えい、アノニマス等による攻撃、PC遠隔操作事件などが発生しました。昔から情報セキュリティ事故は色々と発生していましたが、以前と比べると、被害規模が段々大きくなってきており、また、その攻撃手法が複雑になってきています。


変わらない「原因と対策」、また繰り返されるのか?

大規模なセキュリティ事故の発生直後は、「原因はなんだったのか?」という話題が出ますが、「ここまでしっかりと対策をしていて、やられたのであればしょうがない。」というものはほとんどなく、むしろ「これじゃ事故が起こっても当たり前」という事故だらけで、基本的なセキュリティ対策ができていないことが原因となっているケースが非常に多いようです。
「SQLインジェクション等のセキュリティホールがアプリケーションに残っている」、「セキュリティパッチをあてていなかった」、「アラートやログをチェックしていない」、「パスワードの設定がベンダー出荷時のデフォルトのまま」、「必要以上に(不要な)アクセス権が与えられている」、等々。
1990年代も2000年代も2010年代になった現在も、同じようなことが原因にあげられています。
そして、事故を防ぐためにセキュリティ対策として必要なことは何か?という問いに対しても同じ様に「ウィルス対策ソフトを導入する」、「セキュリティパッチを適切にあてる」、「不要なアカウントは削除する」、「パスワードの管理を徹底する」、「アクセス権をきちんと設定する」、「ログの監視やアラートへの対応をする」といったような基本的な事が何度も何度も言われ続けている状況です。

情報システムも、情報セキュリティの技術も変わっていますが、事故の原因とそれへの対策は変わっていない。さて、今後も同じ事は繰り返されるのでしょうか?


** コラム執筆 **
株式会社マインド・トゥー・アクション
中島浩光

【関連するサービス】
InfoCIC Web感染型マルウェア検出サービス
 アンチウィルスソフトでは対応が追い付かないマルウェアによるウェブサイト改ざんをいち早く
 検知し、具体的な対策をアドバイスします。

InfoCIC ネットワークセキュリティログ監視サービス
 24時間365日、社内外からの不正アクセスをリアルタイムに監視します。

セキュリティ診断
 OS、ネットワーク、アプリケーションの各レイヤーに存在するセキュリエティ上の欠陥(脆弱性)を
 洗い出し、分析するとともに、具体的な対策をアドバイスします。