サイバー攻撃、財政危機と並ぶ高リスクに--危険な“野良IoT”:NTT Com提言

大河原克行 2015年03月17日 19時22分

  • このエントリーをはてなブックマークに追加

 NTTコミュニケーションズ(NTT Com)は3月17日、セキュリティの最新動向を説明する会見を開催。同社セキュリティ・エバンジェリストの小山覚氏は、世界のサイバー犯罪被害総額が100兆円に達していることを示しながら、「2014年のグローバルリスク報告書によると、財政危機や異常気候などとともに、サイバー攻撃や重要情報インフラの故障は重大な悪影響を及ぼす可能性が高いリスクに位置付けられている」と現状を解説した。

 「攻撃手段が巧妙化するとともに、電力やガスといった社会インフラ制御系システムに対する脅威が増加している。日本の企業でも被害が出ており、制御システム監視と異常検知の手法を各社が検討している段階にある」

 社会インフラに対するサイバー攻撃の例として、昨年6月に米国で交通標識に「ゴジラ襲来」と表示されるハッキング被害例を紹介しながら、「日本でも同様のことが起こる可能性がある」と指摘した。

 リモードコード実行による攻撃の70%がゼロディ攻撃であり、攻撃発見に要した日数が243日と長い期間潜伏する傾向が高いこと、サンドボックスを導入しても、ユーザーのPCに攻撃が届いてしまうというように、ブラックリストでの対策などに代表される従来型のセキュリティ対策は通用しないといったことが起こっているのが昨今のセキュリティ事情だ。

小山覚氏
NTTコミュニケーションズ セキュリティ・エバンジェリスト 小山覚氏

 小山氏は「URLブラックリストに登録されていないサイトから攻撃するといった動きがある」と現状を説明した。

 「企業は独自のブラックリストの導入と、不審な通信先の監視のほか、複数機器の警報を相関分析し、すり抜けた脅威を検出することや、上りと下りの通信すべての仮想PCで動作を確認し、徹底した脆弱性対策を行うことも必要である。パターンファイルやシグニチャに依存しない、新たなエンドポイント型のセキュリティ対策が必要であり、当社では、ZAP(Zero day Attack Protection)と呼ぶ新たなサービスを日本マイクロソフトの協力を得て社内に導入。大規模環境のセキュリティ対策やインターネットに直接つながっていない専用システムのセキュリティ対策に貢献することを想定している」

 NTT Comでの事例として、「システムを一元的に管理できていない、脆弱性対策情報が確実に伝達されていないといった課題のほか、サービス停止判断の遅れや脆弱性攻撃のリアルタイム検知と適切な対処が行われていないなどの課題もあった」という。

 そこで「全社システムのセキュリティリスク低減策として、全社システムを調査して基礎情報を再整備し、システムのソフトウェア脆弱性解消の対応策やセキュリティ強化策を策定し、適用基準にのっとって実行。セキュリティリスクマネジメントの新たな業務運営プロセスでは、全社システムの管理方針を改めて策定し、緊急度に応じた対応実施基準と体制を確立。ソフトウェアの脆弱性発覚時の対応、ソフトウェア脆弱性発覚時の対応訓練、規程や約款の改訂などでリスクマネジメントを見直した」とする。

 同社は、サービス停止判断を1時間以内とし、災害対策体制確立判断を3時間以内にするなどの対応実施基準を策定。「Bashの脆弱性“Shellshock”を狙った攻撃には独自のカスタムシグニチュアで脆弱性の公開から10時間以内に対策し、4500件の攻撃を検知、防御できた。経営者が決断すべきは、事業継続のためのシステム停止ができるかどうかという点。攻撃者よりも早く決断できるかどうかが鍵になる」とした。

 「当社の例をあげると、飲み会のメールが来ると18%の従業員がすぐに添付ファイルを開いてしまうという問題がある。こうした従業員の意識も改革していかなくてはならない」と指摘。「企業におけるセキュリティレベルの設定には、テクノロジ(新技術の導入)、オペレーション(攻撃の分析、対策の実施)、ユーザビリティー(利便性、自由度)といった3つの要素をバランスよく捉えることが必要。偏ったセキュリティ対策は事故のもとになる」と訴えた。

“野良IoT”の危険性

 モノのインターネット(Internet of Things:IoT)に関するセキュリティ対策についても言及した。

 小山氏は「脆弱なブロードバンドルータが踏み台となって、さまざまな攻撃が発生している。機器の脆弱性を外部から悪用し、第三者が攻撃するもので、数百台のルータで最大70Gbpsのトラフィックにのぼる“リフレクション”攻撃が行われるといった例も出ている」と具体的な例を挙げた。

 「悪意の第三者が家庭用ルータのパスワードを不正変更して、攻撃の踏み台として利用したり、悪性サイトの設置、運用などに活用したりといったケースもある。摂取したアカウントで爆破予告やテロ予告などに利用されるなど、犯罪の温床になる場合のほか不正プロキシを運用して、ネット銀行に不正送金したり、IP電話では海外通話に使用され、高額請求の課金被害が発生したりといった例もある」

  • 世界のサイバー犯罪被害総額は100兆円に達しているという

 IoTでは、250億個のモノがネットワークに接続されるという予想がある。これに関連して小山氏は「ネットワークに接続されたモノが管理者不在であること、10年以上、使われることになるモノにどうセキュリティ対応をしていくかを考えていかなくてはならない」と指摘した。

 小山氏は「誰も管理していないIoTは、極めて大きなリスクを持っていることを認識する必要がある。IoTは、管理されたネットワークにつなげることが大切であり、Internet of Thingsではなく、“Intranet of Things”であることが重要だ」とIoTに潜むリスクに言及。今後を見据えて、こう提案した。

 「脆弱なモノの持ち主を探して対策を呼びかける“Secure IoT Framwork”を構築し、その通知に関わるコストをいかに下げるかといったことを考えていく必要もある。放置されたIoT、いわば“野良IoT”を極力作らない仕組みが必要であり、やむを得ない場合にはIoTをネットワークから切り離したり、通信の秘密や不正アクセス禁止法などによる適法性の担保も重要である」

 小山氏は「IoTが今後のセキュリィベンダーの勢力図を変えていくことになるだろう」とも指摘した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化