MENU

スペシャルトピック

スペシャルトピック

Exchangeカンファレンス2021 レポート加速する“DX” 知っておくべき成功のカギ

2022.01.20

第2回 セキュリティセッション
システムと組織の脆弱性を解消して、安全なインフラ構築・運用を目指す

アライドテレシスは2021年11月10日、「Exchangeカンファレンス2021」をオンライン開催した。テーマは「加速する“DX” 知っておくべき成功のカギ -世の中の安全をネットワークから創る-」。各界の有識者を招き、「デジタル化の遅れを巻き返すDXへの取り組みとは何か?」「DXを加速させていく上での成功の“カギ”とは何か?」など、最新のDXについての講演が行われた。当記事では3回に分けてこのカンファレンスの模様を紹介。第2回はセキュリティセッションを中心にお届けする。

サイバーセキュリティ対策に関するさまざまなセッション

Exchangeカンファレンス

セキュリティセッションの最初は、「今、身近に起きている国際社会でのサイバー攻撃の脅威」と題して、国際ジャーナリスト/ミュージシャン/TVコメンテーターとして活躍するモーリー・ロバートソン氏(写真左)の特別講演が行われた。

そのあとに3本のプレゼンテーションが続いた。アライドテレシス株式会社 上級執行役員 サイバーセキュリティDevOps本部 本部長の中島 豊から始まり、パロアルトネットワークス株式会社 チャネル営業本部 本部長 鈴木 康二氏(写真中央)の「ゼロトラストに対するパロアルトネットワークスのアプローチ」、Sky株式会社 ICTソリューション事業部 システムサポート部 次長 榊原 敦子氏(写真右)の「テレワークが抱えるセキュリティ面の課題と対策とは?」と、それぞれの企業がサイバーセキュリティ対策をテーマにプレゼンテーションを行った。

ここではアライドテレシス株式会社 中島 豊のプレゼンテーションから、DX1(Digital Transformation)時代に中小企業が実施すべき、効果のあるサイバー攻撃対策を紹介する。

用語解説
  • 1

    DX(ディーエックス):Digital Transformationの略。企業や組織が社会的な現象やビジネスを取り巻く激しい変化に対して、IoTやAIなど最新のデジタル技術を活用し、経済や社会に新たな価値を生み出しより良い変革を起こすこと。デジタル化が進んだ今日、企業や組織が生き残るためのキーワードとして注目を集めている。

脆弱性のある企業・組織が狙われる

Exchangeカンファレンス

アライドテレシス株式会社
サイバーセキュリティDevOps本部 本部長
中島 豊

急速なDXの進展はITインフラと、その環境の複雑化・肥大化を招いた。さらにコロナ禍や働き方改革により、テレワークやサテライトオフィスなどを活用する企業も増え、ITの使い方も大きく変化している。

アライドテレシス 中島のプレゼンテーションタイトルは「攻撃者は弱点のある企業を狙っている!―攻撃被害はサプライチェーン全体に響く―」。
最初に中島は、独立行政法人 情報処理推進機構であるIPA(Information-technology Promotion Agency)が公表した「情報セキュリティ10大脅威 2021」を示した。

情報セキュリティ10大脅威 2021

出典元

ランサムウェア2、標的型攻撃3がランキング1位、2位を占めるなか、注目すべきは3位「テレワーク等のニューノーマルな働き方を狙った攻撃」と4位「サプライチェーンの弱点を悪用した攻撃」であると中島は強調する。
「要は侵入経路を狙った攻撃ですね。これまで攻撃者は、企業や組織へ直接攻撃を仕掛けていましたが、テレワークやサプライチェーンといった、セキュリティ対策が必ずしも万全ではないところを狙うようになっているのです」(中島)
テレワークの推進による在宅勤務やサテライト勤務など、オフィス以外での業務が2倍近く増加している中で、そうした場所(社外)ではサイバーセキュリティ対策が完璧ではないであろうと攻撃者は考え、狙ってくるのだ。

「サプライチェーンが狙われるケースですが、もちろん攻撃者は大企業に対してサイバー攻撃を仕掛けたいわけです。しかし、そうしたところはセキュリティ対策も万全で、脆弱性やセキュリティホール4は少ないものです。そこで攻撃者はグループ会社や取引のある委託会社に視点を移し、脆弱性を探していきます」(中島)

用語解説
  • 2

    ランサムウェア:「身代金(ランサム-Ransom)を要求するマルウェア(Malware)」を指す。攻撃者は企業のデータを人質に身代金を要求する。物理的な誘拐ではなく、データを暗号化(暗号化ウイルス恐喝)し、使用不能にする。データの復旧を見返りに身代金を払えと脅迫する。

  • 3

    標的型攻撃:特定の組織や人をターゲットとして、機密情報を窃取するサイバー攻撃。不特定多数に大量に送られるメールとは異なり、受信者がセキュリティソフトを利用していても被害を防ぐことが難しい。メールも巧妙で不審をいだかせないように侵入の痕跡を隠蔽するなど、手口や技術も年々悪質化している。

  • 4

    セキュリティホール:ホールは穴(ホール)のことで、文字通りセキュリティに空いた穴の意。主に機器やシステムに組み込まれるソフトウェアを設計する際のプログラミングミスやバグなどの不具合で生じ、セキュリティの観点で安全性に欠陥があること。脆弱性もセキュリティホールとほぼ同義で使われる。

セキュリティホールのある企業が踏み台に!

攻撃の一例としてはこうだ。攻撃者はターゲット企業の運用するシステムを狙う。しかし、セキュリティの強度が高く、また脆弱性も少ないため攻撃は容易ではない。そこで、そのシステムを運用しているグループ、さらにはグループ会社が開発を委託している会社に対してまずは攻撃を仕掛ける。バックドア5を見つけたらそこから侵入して、ターゲット企業に対してさまざまな攻撃を仕掛ける。こうした攻撃が実際に行われているのだ。

用語解説
  • 5

    バックドア:「裏口/勝手口」の意味。サイバー攻撃において、ネットワークへの接続を許可(認証)されているユーザーが入る正規ルートとは別の手法で、認証をかいくぐって内部に侵入すること。セキュリティホール、脆弱性をバックドアとして利用することが多い。

企業・組織を「ゼロトラストセキュリティ」で守る

テレワークやサプライチェーンを利用した攻撃は、正規のルートを装ってシステムに侵入するため、従来の対策、いわゆる「境界型セキュリティ6」では攻撃を防ぐのは難しい。
そこで近年では「ゼロトラストセキュリティ」が注目を集めている。ゼロトラストセキュリティは従来の境界型セキュリティとは異なり、すべてのユーザー、デバイス、通信を信頼することなく精査して、認証を通過した正規のものだけをアクセスさせるセキュリティ手法だ。

用語解説
  • 6

    ゼロトラストセキュリティ:「信頼しない(ゼロトラスト)」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。

サイバーセキュリティ対策の変革とアライドテレシスの事業

「当社のビジネスも、『つなげる』をコンセプトに変化しています。これまでのネットワーク機器の販売と構築・運用支援だけではなく、安全性にも注目して、サイバーセキュリティ支援のサービスを立ち上げています」(中島)

ゼロトラストセキュリティを実現するためはさまざまなセキュリティを組み合わせて利用する必要があるため、すべてを自社で担うのは難しい。アライドテレシスでは、各種セキュリティと組み合わせ可能な次世代ネットワークを提供するテクニカルパートナーシップや、リセール品のリセールパートナーシップなど、ネットワークソリューション、セキュリティソリューションを提供する各社と強固なパートナーシップを結び、ネットワークとセキュリティ、トータルでのシステム提供が可能だ。

アライドテレシスの脆弱性診断サービス

脆弱性はシステムだけでなく組織にも存在する。アライドテレシスではその両面の脆弱性を診断するサービスを提供している。
システムの脆弱性を診断するのが「Net.CyberSecurity 脆弱性診断サービス」だ。脆弱性診断サービスでは、「Webサーバー診断サービス」と「LANシステム診断サービス」の2種類のサービスを提供している。

Webサーバー診断サービスは、クラウド上からWebサーバーの脆弱性を診断するサービスで、診断結果は専用のセキュリティ診断結果サイトで確認できる。LANシステム診断サービスは、社内ネットワークに接続されているIP機器を対象とする脆弱性診断サービスで、こちらも診断結果はクラウド上のセキュリティ診断結果サイトから確認できる。

各診断結果のサンプル画面

診断結果はWeb上でグラフィカルに表示され、どこにセキュリティホールがあるか、脆弱性の場所・内容を簡単に把握できる。単なる診断にとどまらず、脆弱性が発見された場合には、その修正法も記載している。「修正後、ご契約期間中であれば何度でも再診断を行うことが可能なので、修正をすぐに確認することができます」(中島)

次に組織に対する脆弱性の診断だ。これには「Net.CyberSecurity フィッシングメール訓練サービス」を提供している。昨今のサイバー攻撃においては被害の8割以上がメールからの侵入によると言われていることもあり、メールへの対策、特に従業員へのリテラシー教育は急務だ。
フィッシングメール訓練サービスでは、社員に訓練用のフィッシングメールを送付し、開封していないか、開封はしたがリンクを開いていないか、リンク先で個人情報を入力していないかなどの反応を記録する。カスタマイズが可能な多様な訓練用メールテンプレートを用意しているだけでなく、擬似的にフィッシングサイトを作成して、本格的な訓練を行えるようにもなっている。こちらのサービスも、管理画面(セキュリティポータル)をクラウド上に用意しており、準備から訓練メールの送信、結果の確認・集計などがWeb上で容易に行える。
「社員への再教育を行うにあたっての強化ポイントがよく分かると、多くのお客様から評価をいただいています」(中島)

システムだけでなく組織・人の脆弱性を解消

万が一、攻撃や侵入に直面した場合、いかに迅速に、被害を最小限に食い止められるか、いわゆるインシデントレスポンス7の強化を考えることも重要だ。どんなにシステムを強化しても、社員のセキュリティリテラシーが低ければ、企業・組織の強靭化は図れない。アライドテレシスでは、企業・組織が実際にサイバー攻撃を受けた場合を疑似体験(シミュレーション)できる演習プログラム、インシデントレスポンス訓練「DECIDE®プラットフォーム」を提供している。

用語解説
  • 7

    インシデントレスポンス:サイバー攻撃や内部不正などにより企業・団体の情報漏えいが発生した/発生の可能性があった場合にとるべき対応の意味。被害範囲を最小限に食い止める手段をとることが求められる。CSIRT(シーサート)などの組織が常にセキュリティに関する監視や解析などを行い、インシデントの予兆・発生を素早く把握・分析することに加え、その企業・団体がインシデント発生時にどう対応するかを考えておく必要がある。

インシデントレスポンス訓練

「お客様のサイバーセキュリティ攻撃に対するインシデントマニュアルをヒアリングしながら、お客様ごとに独自のシナリオの用意が可能です。企業・組織全体で演習を行っていただくプログラムです」(中島)
とはいえ中堅中小の企業・組織では、インシデントマニュアルを用意していないケースも多い。そうした企業・組織に向け、インシデントマニュアルを作るために必要な基礎的な訓練も用意している。アライドテレシスのネットワーク研修/トレーニングサービスの「Net.Campus」では、代表的な攻撃6種類のシナリオを用意し、簡易な訓練コースを提供している。「このコースで体験したことを元に、お客様の方でインシデントマニュアルを作っていただけるような訓練コースになっています」(中島)

セキュリティ対策を検討するとどうしてもシステム周りが中心となるが、組織・人の脆弱性も解消していかなければ、いくらシステムのセキュリティ強度を高めても意味がない。これからDXが進み、さらにデジタル化が拡大していくと、ITを利用する人や頻度も増大していく。DX時代のサイバーセキュリティ対策を考える上では、システム、組織の両面を考え、強化していくべきだろう。

次回は、DXを推進する上でぜひ活用したい、「サービスセッション」のプレゼンテーションを紹介する。

関連リンク

多様化するサイバー攻撃の
脅威から最適な対策を【 Net.CyberSecurity 】
Net.CyberSecurity【 Webサーバー診断サービス 】
Net.CyberSecurity【 LANシステム診断サービス 】
Net.CyberSecurity【 フィッシングメール
訓練サービス 】
IT人材の即戦力育成をサポート【 Net.Campus 】
サイバー攻撃への対応力を
身につける防災訓練ツール【 DECIDE®プラットフォーム 】
  • 本記事の内容は公開日時点の情報です。
  • 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。
BACK TO LIST
  • ソリューション
  • サービス
PageTopへ