白雪舞う1月30日、日立ソリューションズ主催「セキュリティいろはかるた大会」が開催された。昨年も想定外の熱気に楽しく裏切られたが、今年はそれをさらに上回る「本気」がさく裂。記念すべき第10回は、雪をも溶かす熱戦となった。
華麗に舞え!それがセキュリティいろはかるた!
セキュリティの基本をかるたで学ぶ
セキュリティいろはかるた大会は、「サイバーセキュリティ月間」(2月1日~3月18日)に合わせて、情報セキュリティの基本を楽しく学ぼうと企画されたイベントだ。「SI事業者として、何か情報セキュリティ分野での草の根活動ができないかと考え、始まった」(日立ソリューションズ マーケティング部長 野中秀弥氏)。
緊張と期待で室内温度が上昇中の大会開始前の会場。「10年も続くなら、畳はレンタルじゃなく購入すればよかった(笑)」(野中氏)
「セキュリティいろはかるた」は、情報セキュリティの教訓や心得が「いろは」から始まり「京」で終わる48句にまとめられている。
たとえば、下の写真の左上「【ゆ】油断やミスは仕組みでフォロー」は、人のうっかりミスはなくならないからフォローする仕組みやルールを取り入れようというメッセージが、写真左下「【ろ】漏えいで流れた社運」は、情報漏えいは一瞬ですべてを失うから対策しようというメッセージが込められている。公開から10年経つが、今も通じる普遍的な内容に唸らせられる。
セキュリティいろはかるた
「明らめる」は「諦める」にあらず
大会前の講演では、ソフトバンク・テクノロジーの辻伸弘氏が登壇した。
「セキュリティ対策で重要なことは、どこにある何を守るのか明確にすること。そしてもう1つは、明らめることだ」。特に後者について、仏教では現状をつまびらかにして受け止めるという意味であり、「何もせず諦めるのではなく、できるかぎりの手を尽くす。そして、ダメならダメという現状を知り、その上で現実解を探す前向きな取り組みが大切だ」と辻氏は解説する。
ソフトバンク・テクノロジー シニアセキュリティエバンジェリスト 辻伸弘氏
昨今のセキュリティ事情について、「2014年はセキュリティの当たり年」と苦笑いする辻氏は、最近はユーザーに何らかの操作を行わせて脆弱性を突き、攻撃につなげる傾向があると述べた。その例として、リモートからコード実行可能になるInternet Explorerのぜい弱性と、昨年大いに話題になったbashの脆弱性を取り上げ、攻撃デモを実施。乗っ取られたPC上でリモートから文字を書き込むなど、さまざまな操作が可能であることを示した。
「脆弱性攻撃の解説文を見ると、任意のコードが実行できるようになると言う一文がよく添えられている。要するに好き放題されると思っていい」。
攻撃が成功、PCが乗っ取られる様子をデモする辻氏
対策には、パッチ修正やバージョンアップ、緩和策(WindowsであればMicrosoft Fix itなど)などが考えられるが、脆弱性公開から攻撃までの間隔が短くなる現在、これだけでは厳しいと辻氏は言う。「実際、ある企業では、脆弱性公開から約23時間で攻撃を受け、バックドアを160近くも仕掛けられた」。辻氏によれば、その企業は専任のセキュリティチームを配置し、脆弱性のハンドリングや運用への通知といった体制も構築していた。それでも攻撃が成功してしまうのが現状だ。
そんな実例を紹介した辻氏は、今考えるべきセキュリティ対策は、侵入を前提とした対策だと述べ、予防医学を例に挙げた。予防医学には、健康増進や予防接種など病気の発生を防ぐ「第1次予防」、定期健診や臨床的治療で病気を早期発見・処置する「第2次予防」、治療やリハビリで社会復帰を目指す「第3次予防」があり、病気になることを前提に、本格的に発症しないようにするための対策方法と、発症後の対応がまとめられている。
「セキュリティ対策にも、この考え方が適用できる。システムを囲む壁がどんなに厚く高くても、内部の防御が手薄であれば、侵入されたら一発で機密情報へ到達されてしまう。それより、侵入されることを前提に対策を考えていく方が、本当に大切なものを守ることができる」。
柔道のように、セキュリティ対策も一本とられたら即アウトだが、有効や技ありであれば一定時間内に跳ね返すことができたら即負けにはならない。「ただ壁で防いで勝つというのではなく、ここで守り切れたら負けにはならないというポイントを見極め対策する、そんな発想に切り替えることが、これからは必要だ」。
(次ページ、練習の成果を見よ!いざ札取り合戦開始!)
