検索検索
English

デジタルアーツとタッグを組み、セキュリティセミナーを開催

情報システムへの不正アクセスが跡を断ちません。攻撃者はこの瞬間もさまざまな形で、企業のサーバーや個人のPCを狙っています。現状と対策を知っていただくため、サイオステクノロジーでは2018年2月7日に「セキュリティのトレンドを知って、正しい対策を!」と題するセミナーを開催しました。

テクノロジー2018年2月28日

9割の企業が優先順位を間違えている! 標的型攻撃の実態と対策

DSC05566 (2048x1307)工藤さん.jpg
デジタルアーツ株式会社 経営企画部 政策担当課長 チーフエバンジェリスト 工藤陽介氏

最初のセッションでは「セキュリティに詳しくない人にも話が伝わる、そして引用しているデータを利用して説得力のある話ができるようになる」というテーマのもと、サイバー攻撃の現状と背景をデジタルアーツ株式会社 経営企画部 政策担当課長 チーフエバンジェリスト 工藤陽介氏にご講演いただきました。
サイバー攻撃の現状として、独立行政法人 情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威 2018(組織編)」では、標的型攻撃による情報流出が3年連続4回目の1位となり、企業の脅威となり続けています。また、日本ネットワークセキュリティ協会(JNSA)の「情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」によると、インシデントの件数自体は2014年、2015年から減少傾向にあるものの、減少のほとんどは紙媒体によるもので、ネットワーク経由での漏えいは減少するどころか量的・質的にも甚大な被害となっていることが紹介されました。
実際の情報漏えいの原因を照査すると、「不正アクセス」や「ワーム/ウイルス」等の標的型攻撃が1件あたりの流出量も多い特徴があり、甚大な被害に繋がっている一方で、セキュリティ対策として ウイルス対策に力を入れる企業は多いが、メールやWebからの不正アクセス対策はわずか1割程度の企業しか導入していない点も要因として挙げられました。
工藤氏からは、メールセキュリティの難しさを、セキュリティに精通した職人エンジニアの視点から、詳しく解説していただきました。その結果、すべての従業員がメールヘッダや拡張子などの偽装を見抜き、不正なメールかどうかチェックするような職人技を身につけることは、とうてい無理な話だと説明がありました。
そこで、「どのように対策を取ればよいのか? その解として新しい「i-FILTER Ver.10」、「m−FILTER Ver.5」は複雑な職人技を全部自動でやります!」と締めくくり、その紹介を次のセッションの端山 氏にバトンタッチされました。

ランサムウェアやマルウェアなど外部からの攻撃を防ぐには

DSC05602 (2048x1323)端山さん.jpg
デジタルアーツ株式会社 営業部 パートナーチャネルセールス課 端山未佳氏

続いて、Webセキュリティ「i-FILTER」×メールセキュリティ「m-FILTER」のご紹介を中心に、デジタルアーツ株式会社 営業部 パートナーチャネルセールス課 端山未佳氏より、ご講演いただきました。
メールセキュリティソフトウェアの「m-FILTER Ver.5」は、不審なメールを職人技と同様の判断でスコアリングし、危険なメールは隔離/削除する機能を提供していることが丁寧に解説されました。
また、Webセキュリティソフトウェア「i-FILTER」の最新バージョン「i-FILTER Ver.10」は、フィルタリングデータベースが変更されたことが一番大きなポイントであると解説。業務でアクセスする範囲のURLはすべて「i-FILTER」DBでカバーし、カバー範囲外のURLはすべてブロックする運用を推奨しています。
この仕組みにより、マルウェア感染していたユーザー端末がC&Cサーバーに接続しようとした際に「i-FILTER」がブロックして情報漏えいを防いだという事例も紹介されました。
さらに最新バージョンでは「i-FILTER Ver.10」と「m-FILTER Ver.5」との連携で、「m-FILTER」が標的型メールを受信した際に検知した悪性URLを「i-FILTER」DBに登録連携ができ、他の端末も含めて万が一のアクセスがあってもブロックができる、標的型攻撃から守る仕組みが搭載されたことを紹介いただきました。

Webサーバー側のセキュリティの現状と対策

DSC05654 (2048x1342)面さん.jpg
サイオステクノロジー OSS&セキュリティエバンジェリスト 面和毅

最後に、サイオステクノロジー OSS & セキュリティエバンジェリスト 面和毅がセッションを担当し、視点を変えてサーバー側のセキュリティ、特にWebサーバーに焦点を当ててセキュリティ動向から実際の攻撃の例を紹介しました。
脆弱性問題で、いま現在、多数報告されているのがブログソフトウェアの「WordPress」について。利用者が多いため影響も大きく、話題性の高い問題です。さらに「Struts2」の脆弱性は2017年に4回の重大インシデントが公開され、こちらも高い注目を集めました。このような状況は「情報セキュリティ 10大脅威 2018」にも反映されており、「組織編」のランキングでは6位に、ウェブサービスからの個人情報の搾取がランクインしていることを解説。
続けて、Webサーバー側での対策の基礎編と応用編をそれぞれ説明しました。基礎編では、実際に公開しているWebサーバーがどのような攻撃を受けているか調査したところ、60%が Well-Known Portへのアクセスであり、Firewallで不要な通信をブロックすることで守れる攻撃が多いのも特徴だと説明。基本に立ち返ることの大切さを語り、次に脆弱性の対応の重要性とWebサーバーの設定、Webアプリケーションの設計・設定を具体的に解説しました。
応用編では、HIDSの導入、WAFの導入による防御と定期的な脆弱性診断や情報収集の方法を紹介。最後にサーバー側のセキュリティにおいては、脆弱性と攻撃は増加しており、従来型の攻撃もまだまだ多い現状を踏まえ、最低限の対処をした上で最新の攻撃への防御を考えることが大事と解説。フリー・商用・OSSに限らずソフトウェア・機械に頼ることの重要性を伝えて、講演を終えました。

企業におけるセキュリティリスクの縮減を目指して

DSC05579 (2048x1365)セミナー風景.jpg

今回、企業・組織におけるセキュリティ意識の高まりを受け、このセミナーの開催を企画しました。最後のQ&Aでは受講者からだけではなく講師陣からも質問が飛び交うなど、皆様のこの問題への関心の高さと、対応の難しさが伺えました。
セキュリティ問題は、ひとたび発覚すると企業の価値を一瞬にして暴落させてしまうリスクがあります。その対策には人の力だけではなく、的確な仕組みで確実に対処しなければならないことを改めて実感する機会にもなりました。

サイオステクノロジーでは、今後も同様のセミナーを企画して、1社でも多くの企業のセキュリティリスクの不安を解消できたらと考えております。機会がありましたら、ぜひご参加ください。