ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. つなぎ、つながる、物語
  3. ビジネス化が進むサイバー犯罪 IIJのセキュリティ専門部署に聞く、私たちが身を守るポイントは?

ビジネス化が進むサイバー犯罪
IIJのセキュリティ専門部署に聞く、
私たちが身を守るポイントは?

「不正アクセスによる個人情報○○件流出」──この数年、ネットメディアやテレビではサイバー攻撃に関する話題が目立つようになりました。ウイルス感染や情報漏洩の脅威は、私たち一人一人にとっても無縁の話ではありません。
IIJではこうした脅威からお客様の大事な資産を守るべく、セキュリティオペレーションセンター(SOC)を中心に24時間365日体制でお客様のインターネット環境の運用監視を行っています。本日は、IIJセキュリティ本部の兼子さんに、SOCの役割とサイバーセキュリティの動向、私たちに必要な対策について語っていただきました。

(インタビュー兼ライティング:高橋睦美)

愉快犯から金銭目的へ、ビジネス化が進むサイバー犯罪

SOCとはどのような組織ですか? また兼子さんの業務内容を教えてください。

SOCは、ファイアウォールなどのセキュリティ機器による通信記録や、デバイスがウイルスや不正アクセスの兆候を捉えた情報を元に分析し、専門的な知見を踏まえて判断した上でお客様へ報告し、必要に応じて対処等を実施しています。私はIIJのセキュリティ部署に所属し、サービスの企画、開発を行いながら SOCの将来像やIIJならではのセキュリティ運用の方向性を検討する業務を行っています。

セキュリティのプロから見て、昔と今とでサイバー脅威はどう変わりましたか?

私がIIJに入社した2000年代前半は、「CodeRed」や「Nimda」、「MSBlast(Blaster)」などに代表される、セキュリティ上の欠陥を突いてネットワーク経由で自動的に拡散する「ワーム」と呼ばれるマルウェア(悪意あるソフトウェア)が流行していました。その多くは、ソフトウェアの脆弱性を利用してシステム停止させることで、自己顕示欲を満たそうとする愉快犯的な動機によるものだったように思います。また、現在でも行われている攻撃手法ですが、自分たちの主義主張をアピールするために、大量のデータをターゲットへ送りつけて通信を麻痺させる「DoS(Denial of Service)攻撃」も目立ちました。

しかし時が経つにつれ、徐々にサイバー犯罪は「ビジネス化」していきます。

2~3年前に流行った「WannaCry」は、感染するとPC内のファイルが暗号化され利用できない状態になり、復元するための鍵と引き換えに金銭を要求する「ランサムウェア」と呼ばれるマルウェアの一種です。また昨年末から現在まで日本でも猛威を振るっている「Emotet」は、PC内にある情報を盗み取り、得られた情報を利用して最終的には金銭搾取等を実行していきます。このようにサイバー犯罪は、自己顕示目的から、より甚大な被害をもたらす犯罪ビジネスへ変化しています。

攻撃に使われるメールも巧妙化しているのでしょうか。

標的型攻撃で利用されるメールは、標的(ターゲット)の動向を観察し、ターゲットが興味を持つ情報を元に、通常の取引先間のメールを模して送られてくる偽メールです。普通の人では簡単に気付けないほど巧妙なため、うっかり開いてしまうケースもあります。
このようなメールは攻撃者(人間)が、個別に労力をかけて作成している場合もありますが、一方では、AI(人工知能)とML(機械学習)を使った翻訳技術の向上により、人の書く文章と遜色のない自然な作文ができてしまい、外国人でも、少人数でも、メールの量産が可能になってきた側面もあります。
皮肉にもコンピュータの利便性向上というテクノロジーの進歩が、サイバー犯罪の巧妙化を支えてしまっている点も否定できません。

まず何から?自宅や企業で必要なセキュリティ対策とは?

個人宅でインターネットを使う場合には、どのような注意が必要でしょうか?

正直な話、「これだけやっておけば守れる」という特効薬はありません。とはいえ、対策は数多くあり、それらを実施することでリスクを軽減することができます。
例えば、家庭でご利用のPCやブロードバンドルータでは、

  • ウィルス対策ソフトを入れる(PC)
  • パスワードを文字数や文字の種類が多く推測しづらい複雑なものにする(PC,ルータ)
  • 脆弱性が公開されたら OSやアプリのパッチ、アップデートを実施する(PC,ルータ)
  • 管理画面にログインするための設定は、外部(インターネット)からアクセスできないように制限する(ルータ)
  • 利用しない機能は動作しないように停止する(ルータ)

などです。

Webサービスを利用する場合も対策はあります。

  • 必要のないサイトでの情報入力は行わない
  • ユーザ登録時に不要な情報は入力しない
  • ログインページで、ユーザ名とパスワード以外の認証選択(2段階認証等)ができる場合は設定する
  • よく利用するページは、リンク先からのアクセスではなく公式ページに直接アクセスして利用する

など、自ら対策を実施することでリスクを軽減できます。

このようなセキュリティ対策を行うことで利便性が損なわれてしまうことも多々ありますが、手間であっても被害を最小限にするためには、可能な限り対策を実施することをお勧めします。

スマートフォンを使うときには、どのような注意が必要でしょうか?

スマートフォンも PC と同じだと考えてください。AndroidとiOSというスマートフォン向けOSの脆弱性を狙った攻撃のほか、不正なアプリケーションをダウンロードさせ、起動させることで端末を攻撃するパターンもあります。

まずはOSやアプリを最新バージョンに保つことや、公式サイト以外からのダウンロードを行わない等、セキュリティリスクを限りなく少なくすることが大切です。 また、スマートフォンではさまざまな広告が表示されます。中には、クリックすると偽サイトへ誘導され、悪意のあるアプリがインストールされてしまうものもあります。その誘導方法は年々巧妙化していますので、目当てのサイトへ行きたい場合、広告バナーやテキストリンクをクリックせずに、公式のサイトを検索してURLを確認しながらアクセスするのも1つの方法です。

さらに、「Webを見るだけならば、自分のユーザ情報が何も入っていない端末で見よう」と、用途に応じて端末を使い分けることも対策になると思います。

一方企業側では、どのような点に留意が必要でしょうか。

  • セキュリティ製品を入れて、自社のネットワークやシステムを守る
  • アンチウイルスソフトを入れて、クライアント端末のセキュリティ対策を実施
  • ソフトウェアの脆弱性を回避するために最新版へバージョンアップを行う

などの一般的な対策を実施していただいた上で、是非機械的な対策だけでなく、データに対するリスクの分析及び対策をお願いしたいと思います。データに対するリスクを明確化することで、どのような対策を行う必要があるのかを決めることができ、結果、リスクが軽減されセキュリティ脅威を最小限にできる可能性があるからです。

とはいえ、すごく難しく考える必要はありません。
必要なデータの中にも、機密度や公開範囲の違いなど、性質が異なる情報がありますよね。それらをきちんと区別して個々に対応策を検討することが大切です。そうすることで、無駄な労力や投資を回避できる場合もあります。

例えば、業務利用のデータファイルを、別の場所で定期的にバックアップ取得し保管している場合、万が一マルウェア(例:WannaCry)に感染しデータの利用が不可能になったとしても、バックアップデータから復元することが可能です。バックアップというのは、セキュリティという要素は少ないですが、このようにデータに対するリスク分析や対策を実施することで、結果的にセキュリティ脅威を減らすことができており、被害を最小限にする(身代金は払わずに済む)ことができます。

「回線につなげば、自然とセキュリティが保てる世界」が来る日を目標に

IIJのセキュリティ専門部署ではどのような考え方を大切にしていますか?

IIJがセキュリティサービスを始めたのは創業から2年後の1994年まで遡ります。当時IIJのインターネットサービスを確実に、正しい形で提供するためには、セキュリティ面の堅牢性は必要不可欠だと考え、セキュリティ専門エンジニアが対応するサービスの提供をはじめました。
現在のIIJでも当時の精神を受け継いだセキュリティサービスとその専門部署によって、日夜対応を行っています。また、2016年から「wizSafe(ウィズセーフ)」というセキュリティブランドを立ち上げ、「高い技術力と誇りを持って、お客様、さらには社会全体に安心を広げたい」という考えのもとにサービス提供を行っています。

「wizSafe」のコンセプトは『安全を当たり前に』。

「回線につなげば自然とセキュリティが保てる」という、企業が脅威を意識せずに本来の活動を行える未来の実現に向かって、IIJサービスのセキュリティを高めていくことが、我々セキュリティ部署の使命だと考えています。

最後に、今後の課題を教えてください。

セキュリティに関わる担当としてお客様を守っていくために、以下2点を注目しています。

1つは、直近の課題としてSOCにて最新フレームワークへの対応を考えています。例えば最近では「SASE」(Secure Access Secure Edge)等のネットワークとセキュリティを融合した仕組みを利用する企業が増えてきています。現状でも一部は提供できていますが、多種多様な接続及びオンプレミスやクラウド環境にある社内リソースを使うお客様を、包括的に監視できるようなセキュリティ監視サービスはまだ提供できていません。今後はそのような、よりお客様を守っていけるサービスを提供していきたいと考えています。

もう1つは、セキュリティエンジニア人材の強化に対する課題です。昨今セキュリティエンジニアが不足していると言われる中で、IIJも人材強化に力を入れていますが、各人のスキルをどのように向上させて技術力を身につけていくのか、組織や育成体制づくりが課題となっています。

この課題は、短期間では解決できないため長期で対応していく必要があります。まず、教育を行う専任メンバーを組織させる。そして、彼らが挑戦できる環境を自ら用意し技能の習得を進め、それらを同僚や後輩など「他者へ教える」ことでさらに理解を深めつつ、部署全体へ効率的に教育内容の定着を図っていければと考えています。
このように個人のスキルや能力を見極めて、最大限、皆の力が発揮できるような教育体制や組織を作ることで、将来的に、より多くのセキュリティに関わるメンバーが生まれる土壌を作り出していきたいと考えています。


ページの終わりです

ページの先頭へ戻る