9月17日、デルはプレス向けのセキュリティ勉強会を開催した。同社の総合セキュリティサービス「Dell SecureWorks」で発行するホワイトペーパー「Threat Intelligence White Paper~猛威を振るうリスト型攻撃への対策はあるか?」を取り上げながら、セキュリティ対策の今を考える。
最低限必要な3つの対策もままならず?
「防御は攻撃よりも難しい。攻撃側は1つでもセキュリティホールを突破できればいいが、防御側はすべてのセキュリティホールを見つけ出して対策しなければならない」。勉強会の冒頭でデル SecureWorks セキュリティ ビジネス&マーケティング シニア・マネージャ 古川勝也氏はこう述べた。
同氏は、企業システムは潜水艦で、セキュリティリスクは水圧のようだと言う。たとえば水圧の低い場所(リスクの低い状況)であれば、それほど頑丈な作りでなくても耐えられる。しかし、深く潜って水圧が高まれば本体がぜい弱だと潰れる恐れがあり、しかも亀裂がわずかでもあれば、あっという間に浸水してしまう。
すべての穴を完璧に塞ぐのは難しい。そこで現在推奨されているのが、多層防御だ(潜水艦であれば、二重の耐圧構造など)。たとえ1つの穴を突破されても別の対策がされていれば、真の狙いに辿り着きにくくなる。時間をかけてでも全防御を突破しようとする標的型攻撃でないかぎり、攻撃する気持ちを萎えさせるのに十分効果がある。
一方で、複数の対策を導入するにはコストがかかる。そこで、古川氏は「ウイルス対策」「脆弱性対策(セキュリティパッチ)」「ID管理」だけでも最低限導入することを勧める。
もっとも、ウイルス対対策の導入率は100%近くあるが、アプリケーションの脆弱性対策は甘く、ID管理に至ってはパスワードの使い回しやIDの共有などが常態化するなど隙だらけなのが現状だ。現在話題のリスト型攻撃は、特に3つめのID管理の不備をうまく突いている。
わずか1回でログイン成功!
ホワイトペーパー「Threat Intelligence White Paper~猛威を振るうリスト型攻撃への対策はあるか?」を執筆したDell SecureWorks プリンシパル コンサルタント 小川真毅氏は、最近連続するSNSやWebサービスへの不正アクセス事件について、不正アクセス試行の回数が一昔前に比べて圧倒的に少ないと言う。
eBook Japanが自社に対する不正アクセス被害調査によると、わずか1回でログインに成功した不正アクセス件数は386件だった。辞書を使った総当たり攻撃よりも、はるかに成功率が高い。それだけID管理の徹底は難しいのかもしれない。問題は、1回の試行でログインできるため、正規のログインと見分けがつかず、試行回数で不正を判断する従来の対策では不十分である点だ。
今できるリスト型攻撃対策として、ホワイトペーパーでは二要素認証とログ分析を推奨する。「携帯電話への通知を追加するなど、個人しか対応できないはずの方法を加えた二要素認証。そして、1つのIPアドレスから複数IDのログイン試行をするといった不審な通信を割り出すログ分析で防御の可能性は高まる」(小川氏)。
「クラウドやSNSの急速な普及、デバイスの多様化など、IT環境はデル日本法人が設立した20年前から大きく様変わりした。セキュリティについても、人・プロセス・テクノロジの基本対策は、より国家・グローバルなレベルへと拡大した。そんな現状をどうサポートできるか。ベンダーの課題としてしっかり受け止め、さらに取り組んでいきたい」(古川氏)。
なお、ホワイトペーパーはこちらからダウンロードできる。