開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

F5ネットワークスジャパン合同会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2018/10/02
 徳丸浩氏、”何が足りないのか”を力説「セキュリティは発注の段階で7~8割決まる」

企業は今、サイバー攻撃に対してどのような対策、組織づくり、人材育成を考えればよいのか。Webセキュリティの専門家である徳丸浩氏に、2018年サイバー攻撃の動向を振り返ってもらいつつ、マイニングマルウェアやコインハイブの問題、企業内CSIRT構築、セキュリティベンダーとの付き合い方など、本業のコンサルティングの知見などを交えて、語っていただいた。

情報セキュリティは経営戦略に組み込むべき課題に

 サイバー攻撃に対する備えは、あらゆる企業にとって無視できるものではない。ITがビジネスのインフラとなった今、情報セキュリティは経営戦略に最初から組み込んでおく必要があるものになっている。

 情報セキュリティは経営者が主体となり、企業ミッションや経営方針にのっとって実施すべき、というのは情報セキュリティマネジメント(ISMS)の基本だ。いまさら言うまでもないことだが、現実には、この意味を理解して実践している企業は多くない。それはなぜか? EGセキュアソリューションズ 代表取締役 徳丸 浩氏に、企業セキュリティについて語っていただいた。

photo
徳丸 浩氏
EGセキュアソリューションズ代表取締役、京セラコミュニケーションシステム技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。1985年京セラに入社。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング(現EGセキュアソリューションズ)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(SBクリエイティブ)』がある

増えるマイニングマルウェアに対して企業はどう対応するか

 まずはここ1年前後のサイバー攻撃の状況、動向について、徳丸氏はどのように見ているのだろうか。

「昨年、話題になった『WordPress』『Strut2』など著名ソフトウェアへの攻撃は落ち着いてきていますが、ビットコインなどの暗号通貨が話題になるにつれ、年末、年始あたりから目立ってきたのが暗号通貨のマイニングマルウェアです。サイバー攻撃の動機のほとんどが金銭目的ですが、暗号通過は匿名性が高く、犯罪者も扱いやすくローリスク・ハイリターンの攻撃として急激に増えています」(徳丸氏)

 マイニングマルウェアは、企業のサーバに不正に侵入し、ビットコインなどの暗号通貨を不正にマイニング(採掘)させることで計算機リソースを消費する。不正アクセスしている時点で違法であり、マイニングに限らずあらゆる攻撃につながるものだ。目的は不正なマイニングによる金銭の取得であるため、CPUやメモリの消費(窃取)に手加減はない。悪質なマイニングマルウェアなら、通常業務への影響も避けられない。

 では、マイニングマルウェアから自社サーバ、自社サイトを守るにはどうすればよいだろうか。

「マイニングマルウェアは、マネタイズの方法が新しいというだけで、侵入方法やマルウェアの起動方法について、特に新しい技術が導入されているわけではありません。対策としては、Webサイトの改ざん防止、スクリプト類のインジェクション対策が考えられますが、WAFの設置、適切な設定、そして脆弱性の管理(パッチの適用)が考えられます。基本的な対策をしっかり行ってください」(徳丸氏)

この記事の続き >>
・自動車や建築と同様、将来セキュリティも法律で義務付けられる?
・セキュリティ人材の確保には「ポスト」と「キャリアパス」が必須
・徳丸氏が教えるベンダー選定のポイント、「セキュリティは発注の段階で7~8割程度決まる」

この続きは会員限定です

ここから先は「ビジネス+IT」の会員の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!