1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 10周年記念企画 特別対談(前編)~標的型対策は「PDCAサイクル」と「要素分解による問題の単純化」がカギ~

10周年記念企画 特別対談(前編)~標的型対策は「PDCAサイクル」と「要素分解による問題の単純化」がカギ~(1/3)

2005年9月に公開され、10周年を迎えた「日立ソリューションズ 情報セキュリティブログ」。10周年を記念して、ソフトバンク・テクノロジーの辻 伸弘氏、HASHコンサルティングの徳丸 浩氏をお招きし、当社の小川清司を交えた特別対談を実施いたしました。

今回、対談を開催するに際し、読者の皆様に事前に対談テーマのアンケートにご協力いただきました。たくさんの投票をいただきありがとうございました。今回の対談ではその中でも特に関心を集めた「近年多発する『標的型攻撃』による情報漏えいインシデントから得られる教訓は何だったのか?また、それによって、マイナンバー対策の考え方は変わったか?」「大予言!10年後、セキュリティ技術/社会はこうなっている」「高まるサイバー攻撃の脅威とセキュリティ業界。これから業界に必要とされる人材像とは?」の3つのテーマを中心にお話を伺いました。

当ブログでは、特別対談の模様を3回に分けてお届けします。今回は前編として、標的型攻撃をはじめとするサイバー攻撃の現状や今後の対策のポイントに関するお話をご紹介します。

対談風景

辻 伸弘氏(写真右)

ソフトバンク・テクノロジー株式会社
シニアセキュリティエバンジェリスト
セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。
現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji

徳丸 浩氏(写真中央)

HASHコンサルティング株式会社代表
脆弱性診断やコンサルティング業務のかたわら、SNSや勉強会、インタビュー等で幅広く啓蒙活動を行っている。自著が海外語訳されているほか、専門書やWEBコンテンツ等の監修依頼も多数。情報セキュリティブログのコンテンツにも関わりが深い。2015年 イー・ガーディアングループに参画し、活動の幅を広げている。Twitter IDは@ockeghem

小川 清司(写真左)

日立ソリューションズ株式会社
セキュリティソリューション本部
セキュリティソリューション第1部担当部長

ポリシー策定だけでなく、定期的なチェックと改善を継続するPDCAサイクルが大事

★さて、今回の対談は、大きく3つのテーマについてお話しいただきます。1つ目のテーマは、「近年多発する『標的型攻撃』による情報漏えいインシデントから得られる教訓は何だったのか?」ということで、サイバー攻撃、特に標的型攻撃の動向についてです。早速、辻さんからお聞きしたいのですが、標的型攻撃の事案から得られる教訓は何だとお考えですか。

: 標的型攻撃というと、我々はつい最新とか巧妙、高度といったキーワードばかりに目がいってしまいがちです。でも、大事なことはそこではないというのを、昨今多発している事件、事故の顛末を調査していく上で思い知らされました。

★具体的にはどういうことでしょう。

:例えば、ある事案では、標的型攻撃メールを開いて、ローカルの端末にマルウェアが感染したあと、システムに侵入した攻撃者が、何かしら脆弱性を悪用してシステム全体を掌握しようとしたのではと考えていました。しかし、公開されている調査レポート等を読み直してみると、脆弱性を利用した攻撃はあったものの、それよりも先にローカル端末の管理者パスワードが全部同じだったということを利用した攻撃を行っていたんです。つまり、1台乗っ取ってしまい、その共通パスワードを利用するだけで侵入範囲を拡大していくことができてしまう環境だったということです。

これは僕の推測ですが、例えば、情シス部門がメンテなどのために、管理者権限のIDでローカル端末にログインするために設定したものではないでしょうか。管理する台数が多いため、つい同じものを使い回すということがあったのかもしれません。

辻 伸弘氏

★では、得られる教訓としては、セキュリティポリシーが業務実態に合っていなかったということになりますか。

:そうですね。僕もよくセミナーなどで、セキュリティ対策を建物にたとえて話をするのですが、建物は基礎工事が大事で、用途や目的に応じた運用設計があって、その上で防犯対策をします。セキュリティ対策もそれと同じで、自分たちの業務の運用にあったルールを確立して、対策を実施する基本的な考え方が大事だというのを強く訴えていかないといけないと改めて痛感しました。

関連キーワード:
  • 2015年10月のIT総括
  • カテゴリートップへ
  • 10月は「Apple ID」を詐取しようとするフィッシングの報告件数が増加