サイバー攻撃は「高度化していない」のに、事故が絶えない理由
辻伸弘氏に聞く
「『サイバー攻撃が高度化、巧妙化している』とよくいわれていますが、私はそうでもないと思っています」――そう話すのは、ソフトバンク・テクノロジーの辻伸弘氏(プリンシパルセキュリティリサーチャー)だ。その証拠に「システムを最新の状態にアップデートしておく」「セキュリティホールをつぶす」など、企業がなすべき対策は大きくは変わっていないという。
だが、世間を揺るがすような大規模なセキュリティ事故の発生は後を絶たない。その背景には何があるのか。そうした現状に対し、企業はどのような対策を講じるべきか――。セキュリティに関する事件を数多くリサーチしている辻氏と、セキュリティサービスを開発しているNTTスマートコネクトの秋田恭輔氏(クラウドビジネス部ビジネス戦略担当)の対談から探っていく。
ソフトバンク・テクノロジーの辻伸弘氏(写真右)
「サイバー犯罪者の“うまみ”が増している」
辻氏:対策という意味では、やることはそんなに変わっていません。変わったのは、情勢のほうです。具体的には、サイバー犯罪者の“うまみ”が増しています。企業でのIT活用が促進され、モバイルデバイスやIoT機器などアタックできるポイントが増えました。結果的に基本的な対策すら講じていない組織が増え、サイバー犯罪の費用対効果が増大したのです。攻撃の質は変わらず、数が増えているのです。
最大のアタックポイントはヒトです。システムにはセキュリティパッチがありますが、ヒトの怠慢や勘違いを治す薬はありません。治しようがないから狙われるのです。
例えば、取引先の請求書送付を偽装したメールに対し、「まちがったのかと思って、親切で教えよう思った」と応対してしまった人がいます。メールツールを操作しようと、誤ってリンクをクリックしてしまうケースもあります。こうした攻撃を100%防ぐことは困難だと思います。
秋田氏:そもそも対策を行っている企業でも、専任者がおらず人材不足を問題視する声も大きいようですね。
辻氏:それもよくいわれるんですが、介護業界でも建築業界でも人材不足はどこの業界でも一緒だと思いますよ。足りてないのはお金じゃないでしょうか。十分な給料を支払わないから、人材を集めることができないのだと思います。
とはいえ、社内でなんとか教育しようとするのもリスクでしょう。待遇のよい外部企業へ移ってしまうことが多いことも問題です。
左)秋田恭輔氏 右)辻伸弘氏
秋田氏:IT業界では特に問題視されていますね。結局は外部にリソースを求めざるを得なくなってしまいます。内部で教育をしたくとも、中小企業には体力がないというのも課題です。
辻氏:まずは、自社でできる範囲や割合はどの程度か、技術的にも金銭的にも見極めることが重要ですね。その上で、現状をしっかり理解して内部に展開し、最適なものを買う判断ができる人材を確保することが必要です。買ったほうが安いものも多いので、自社に合ったものを検討すべきでしょう。
秋田氏:その見極めができる部署は、どこなのでしょう。そもそもITはどの部門や人材が選ぶべきなのでしょうか。
辻氏:正直に言って、現在の企業は情報システム部門ばかりに押しつけすぎですね。例えば会計フローを管理するツールならば、経理担当者でないと理解できないことも多く含まれます。コンピュータに詳しい人だけでどうにかする時代ではありません。
秋田氏:つまり業務部門や経営層とIT部門がしっかり連携することが重要ということですね。当社には、インシデントが発生してから慌てて相談に来る企業も少なくありません。
辻氏:実に日本企業らしいですね。事故を起こしたところからセキュアになっていくというのは昔からありますね。
重い? 遅い? “全部載せ”のUTM
辻氏:こうした状況下では、統合型セキュリティアプライアンス(UTM)は導入しやすいのでしょうね。アレもコレもできますから、特に人的リソースの少ない組織で好まれている印象です。アンチウイルスだったりWebフィルタリングだったり、さまざまな機能を搭載している“全部載せ”で、手ごろに購入できる価格なのかもしれません。
秋田氏:われわれ、NTTスマートコネクトも「SmartConnect Network & Security」というサービスを提供しています。UTM製品で高いグローバルシェアを誇るフォーティネットの「FortiGate」技術をベースに、各種機能をマネージド型のモジュールとして導入できるサービスです。必要な「セキュリティ対策」と「性能」(リソース)を月額で利用できます。
多機能なUTMは運用も煩雑になりがちですが、当社と当社パートナーから高度な運用サービスを提供するため、人的リソースが不足していても安全性を確保できるようサポートしています
NTTスマートコネクトのクラウド型UTMでは、インターネット接続やフレッツ網などNTTグループのネットワークサービスも一括して利用できる。大容量のセキュリティログを長期間にわたって保管しなければならない場合でも、NTTスマートコネクトのストレージサービスがペタバイト級のデータ保全に役立つという。
辻氏:けれど、UTMというと、全ての機能を有効にしたときパフォーマンスの劣化が激しくて使えないなんてこともありますよね。
秋田氏:実はその通りです。一般的なUTMアプライアンスは、機能を有効にすればするほど重く、遅くなる傾向があります。正直に言って、機能が豊富すぎる面がありますね。
特に、これらが大きな問題として顕在化したのは、クラウドサービスが普及したためだと思います。例えば、Microsoft Office 365を利用し始めたところ、UTMのプロキシサーバに大きな負荷がかかって、パフォーマンスが急激に劣化したという例があります。単純に機器の性能不足が原因です。
そこで、当社のクラウド型UTMであれば、「ネットワーク帯域」「セッション数」などのリソースを必要な分だけ購入いただき、当社で性能保証を行います。また、リソースを自在に変更できるのも特徴です。そのため、導入後に人員増や使い方の変化による性能不足で悩む必要がありません。
UTMの“あるある”を解決する「クラウド型」
秋田氏:一般的なUTMアプライアンスは、意外と課題が多いですね。特にUTMの機能やメリットを理解しておかないと、自社に必要なセキュリティをまかなえていなかったなんてこともあり得ます。
実際の例だと、UTMと思って導入したら実は単なるウイルス対策ソフトだったケースや、UTMを導入しただけで満足してしまい、サポートが切れていたというケースもあります。比較的中小規模でも多数の拠点を構えていて、全拠点にUTMを導入することが難しいという相談もありがちです。
NTTスマートコネクトのクラウド型UTMは、インターネットゲートウェイを集約して複数の拠点も守れますし、運用もプロフェッショナルに任せられます。
辻氏:そういう点だと、クラウド型UTMは、買収を繰り返している企業や、海外拠点を持っている企業など、セキュリティレベルを合わせられなくて困っている場合には都合がいいかもしれませんね。
秋田氏:また小規模な企業だと、いわゆる“1人情シス”で、運用はその人しかできないというところも珍しくありません。異動が多い組織では、UTMの運用を十分に引き継げないというケースもざらです。大きな組織の場合、UTMアプライアンスの設定変更などの影響がネットワークやサーバ、ストレージに波及するため、チーム間の調整に手間取ることも多いそうです。そうしたとき、当社のサービスを、アウトソーシング先の1つとして捉えてもらってもいいのではないかと考えています。
NTTスマートコネクトの秋田恭輔氏(写真左)
辻氏:セキュリティレベルを底上げすることも大事ですが、上げたものを維持するということが重要ですからね。1点、気になったのが、SmartConnect Network & Securityでは、Web Application Firewall(WAF)やDDoS対策のメニューも提供していますよね。UTMと組み合わせて利用できるのですか。
秋田氏:その通りです。ロードバランサーやVPNも用意していますので、まずはUTMを導入したのち、必要に応じてWAFを導入したり、DDoS対策を導入したりしていくのもよい選択だと思います。サービスチェイニングが可能で、より強固なセキュリティ環境を実装できます。
DDoS対策だと、攻撃元に近い設備で保護することで効果が高まります。当社のクラウドサービスであれば、大規模なDDoS攻撃にも耐えうる設備を用意していますので、システム全体の可用性を低下させずに済みます。資産を持つ必要もないため、コストも軽減できますし、既存の環境に与える影響も抑えられます。
セキュリティ運用は“外部のプロ”に
辻氏:セキュリティ対策・運用を外部に任せることは、私は結構、肯定的です。そもそも人材不足はお金がないから発生しています。内製なんて、お金がかかって仕方がないです。経営者はランニングコストを嫌がりがちですが、人材を教育するほうがお金がかかることもありますよ。
秋田氏:セキュリティアーキテクトは希少ですし、多種多様なセキュリティ製品を使い分け・使いこなすのは難しいですね。SmartConnect Network & Securityであれば、必要なものを必要なだけ使えます。運用面でも、クラウドサービスを積極的に活用して、私たちのようなプロフェッショナルに任せてしまい、自社のコアコンピタンスに集中するほうが結果的によいのではないでしょうか。
セキュリティ対策では、直接的に利益を生み出すわけではないので、多大なコストはかけられない――という見方も少なくないだろう。そこで自社で対応可能な範囲を見極め、それ以外の部分は、人的にも金銭的にも、プロフェッショナルのマネージドサービスを利用するという選択肢は有用だ。「自社でやらない」という決断も、現代のセキュリティに必要な要素かもしれない。