1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 将来、データを“売り渡す”可能性があるDB管理者の割合“10%”の衝撃

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

将来、データを“売り渡す”可能性があるDB管理者の割合
“10%”の衝撃

記事の要約

  • 外部からの攻撃に加え、内部リスクへの対応が求められ始めた2014年以降。“DB管理者の10%が状況次第で情報を売り渡しかねない”という衝撃の調査結果。
  • 端末1台の被害が管理サーバまで波及する標的型攻撃の脅威。被害に遭っていることを検知できない企業も多いという現状。
  • 規定が複雑化するほど、形骸化するパスワード管理。ユーザーの利便性の向上とセキュリティレベルの強化、2方向での活用が想定可能な生体認証。

全文を読む

企業が大規模な情報漏えい事故を起こしたり、サイバー攻撃に遭うなどの事件が後を絶たない。セキュリティ対策を手がける株式会社ラックのチーフエバンジェリスト・川口洋氏と、ZDNet Japan 副編集長の田中好伸が対談。現状を整理しつつ、企業が取り得る現実解を探った。

ラック チーフエバンジェリスト 兼 担当部長 川口洋氏
ZDNet Japan 副編集長 田中好伸

企業が大規模な情報漏えい事故を起こしたり、サイバー攻撃に遭うなどの事件が後を絶たない。ここまでは標的型攻撃など、外部に起因するリスクへの備えが論議の中心だったが、2014年以降は「従業員の過失」「悪意の内部者」といった内在するリスクが、懸念事項として改めて意識された。IT側の問題だけにとどまらず、企業としてガバナンスをどのように効かせ、かつテクノロジーと同調して情報を守るべきか--。その方策を皆が再検討せざるを得ない状況が現れたのである。そこで本稿は、セキュリティ対策を手がける株式会社ラックのチーフエバンジェリスト・川口洋氏と、ZDNet Japan 副編集長の田中好伸が対談。現状を整理しつつ、企業が取り得る現実解を探った。

※不特定多数ではなく、攻撃者が入手したい情報を持つ「特定少数」を狙い撃ちするサイバー攻撃
  川口氏は、ラックが運営するネットワーク監視サービスであるJSOC(ジェイソック:Japan Security Operation Center)に十余年にわたり従事してきた経歴を持つ。監視活動の現場から契約企業に対するコンサルティングまで幅広い経験領域を持ち、現在はITインフラへのリスクに関する情報提供、啓発活動も行っている。この分野の「第一人者」ともいえる存在だ。

「日本だからこそ情報が守られている」という状況を意識していない

田中この1年で企業を狙うサイバー犯罪がさらに増加していますが、ターゲットを含めて印象に残っていることはありますか?

ラック チーフエバンジェリスト 兼 担当部長 川口洋氏

ラック チーフエバンジェリスト 兼 担当部長 川口洋氏

川口一般的には大手教育サービスの事件が注目を集めていますが、実はそれだけではない。あまり報道されていない、報道されているけれど皆さんが気にしていない、といった事件にも非常に深刻なものが多いのが気になります。例えば、報道によると総合金融サービス企業の米J.P. Morganは、昨年末に8300万件もの情報漏えいを起こしています。

こうしたなか発表された「日本のDB管理者1000名に対するアンケート結果」は衝撃的でした。データベース・セキュリティ・コンソーシアム(DBSC)が2014年に発表したものですが、その中に「いま自分が関わっている情報を将来的に売るかもしれないと思いますか?」という設問がありまして、その回答をみると、「売ると思う」が3%、「少し思う」が7%もいるわけです。あわせて10%の管理者は、状況しだいでは情報を売ってしまうかも、そんなマインドを持っている。一般的に「真面目」とされる日本人の10%、ですからね。

田中なら海外はどうなんだ、と。

川口そういう話です。日本人もしくは日本企業的な感覚では、仕事で得た情報は会社のものと認識しており、それを他社に持って行くのはタブーといえます。そんな日本でも稀に盗用した情報で新規事業を立ち上げて問題になった事件があるくらいですから、海外ならそれでは済みません。自分が営業で集めたデータは自分のもの、と思っている文化圏もある。日本で情報がある程度守られている企業でも、国民性や文化圏が違う場所では、そのまま日本の常識を通用させるのは難しいでしょう。

田中内部・外部の犯行かは別として、被害に遭っていることを検知できないのは最悪のパターンですね。

川口最近は表面化していなくても、そのような案件が非常に増えています。たとえばウェブサイトの改ざんが見つかれば企業に連絡しますが、いざ調べて見るとウイルス配布などの踏み台にされていた証拠がどっさり出てくる、といったケースが多くなっています。ですが残念な現実として、外部の組織から連絡が届いたにも関わらず、謝罪どころか調査すら行っていない企業も、かなりの数に上ります。

最低限の備えとして求められるログの取得

田中企業はセキュリティレベルを上げればそれだけ予算がかかりますし、運用も複雑化します。IT部門の上層部は経営者層に対して、実際に行えるセキュリティ対策以上の部分が常にリスクとして存在することを理解してもらうしかないのでしょうか。

川口少なくともログだけは、しっかりと取得・分析するべきだと思います。しかし現実的には、そこまで余裕のある企業はほとんどありません。予算も時間も人材も足りませんから、本当に対応できるのは金融機関と一部の意識の高い企業くらいでしょう。それでも最低限の備えとして、ログの取得はお願いしたいところです。

管理規定が複雑化するほど形骸化していくパスワード運用

田中標的型攻撃は、どのようにカスタマイズされているか分からないので恐怖感が高いと思うのですが、実際に標的型攻撃に遭ったという事例はかなり聞こえてくるものですか?

川口山ほどありますね。標的型攻撃では、教えてもらうまで気付いていない企業が大半です。こうした攻撃で厄介なのは、端末1台が被害に遭うと横展開で一気にやられることですね。1台だけならばその端末のみなので対策コストも少なくて済みますが、大半はAD(Active Directory)を含む管理サーバなどまで被害に遭ってしまう。調査する時間も予算もないので再インストールするしかない、といった場合もあります。

田中1台が被害に遭った後の動きについて、最近の特徴はありますか?

川口悪意ある第三者は、侵入後に横展開していく上でシステム内の個人認証情報をかなりの割合で使用するため、この認証情報をいかに取得するかを考えています。セキュリティ機能を使いこなせばなんとかなるというレベルでは、今度は企業側に一定以上の能力が求められるので、それも難しいですね。

企業ではパスワードを複雑かつ長くしたり、定期的に変更するような施策も行われていますが、今度は必ず変更しなかったり覚えられない人が出てくる。管理規定が複雑化するほど、運用は形骸化していく恐れがあります。面倒に感じてIDやパスワードを付箋に書いて貼り出したら終わりですからね。ここを何かで補うか、別の認証手段に置き換える必要が出てきます。覚えられないパスワード運用を、例えば生体認証などの手段で支援・解決できるのであれば有効でしょう。

田中それこそ全システムにアクセスできるシングルサインオン(SSO)のような手段があればまだ対応できますが、システムごとに個別のパスワードを変更・記憶し続けるような運用は厳しいですね。

川口かなり無理があると思います。なにか問題が起こるとルールが複雑化しますが、このルールを減らすという決断には相当な勇気が要りますから。面倒なので皆さんもできればパスワードを変えたくないはずですが、放置しておくと適当なパスワードをつける人が出てくるので、そうならない対策が必要になるはずです。

田中よくある危険なパスワード「12345」なども運用の形骸化といえますが、IT部門の立場としても人数が増えるほどそのパスワードを発行するだけでもかなりの労力がかかるため、誰も楽になっていませんよね。

川口先日は「第一回 全米サイバーセキュリティーと消費者保護サミット」の挨拶で、あのオバマ米国大統領ですら「メールなどインターネット作業のパスワードに『password』という語句を使ったことがある」と語ったくらいですからね。一般的にも、パスワードはできれば覚えやすいもので、定期変更したくないという意見が大半だと思います。

2種類の活用方法として2つの方向性が考えられる生体認証

田中先ほどから話が出ている生体認証ですが、その有効はどうでしょうか。

川口こうした認証系の仕組みは重要ですね。内部の人を管理する視点では、運用を楽にしないとセキュリティが守られなくなりますし、積み重ねていくと運用コストも上がりいつかは破綻します。一方で外部からのサイバー攻撃という視点で考えると、SSOなど認証を便利にする機能は管理サーバが狙われる傾向にあります。

田中IDとパスワードでのセキュリティには、もはや限界がきているといえますね。それを解決するひとつのツールである生体認証は、どのように用いるのが有効なのでしょうか。

川口先ほどからのまとめになりますが、エンドユーザーに楽をさせるためのソリューション、もしくはセキュリティレベルを上げるためのソリューションという、2パターンの使い方があると思います。前者は、パスワードを打つ代わりに生体認証を用いる方法ですね。複雑なパスワード運用が期待しづらいのであれば、こうした活用方法は有効です。ある意味で、平均年齢の高い組織にも向いている方法かもしれません。

後者については、パスワードと併用してセキュリティレベルを上げるために生体認証の情報を組み込む方法です。こちらは、個人を明確に特定したい業務区分がある場合に適しています。

田中なるほど。パスワード運用が難しくなっている現状では、いずれにせよ、生体認証は今お話していた両方を同時に実現できるソリューションと言えます。解決策として生体認証でユーザーの利便性を向上する、もしくはセキュリティレベルを強化するという2方向の考え方が有用になりそうですね。
本日はありがとうございました。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。