Windows Server 2008/R2のサポート終了が迫る今、ITインフラをどう生まれ変わらせるか

Windows Server 2008/R2のサポート終了に、実際の現場はどのように考えているのか。金融、コンテンツ配信、SIerなど多岐にわたる6人の方々が集まった覆面座談会記事の後編

現在、感じているセキュリティの不安は

 「最新のサーバOSで注目しているセキュリティ機能は何ですか?」という質問では、「マルウェア対策」「不正アクセス対策」「資格情報ガード」「権限管理・認証」「プライベートクラウドへの不正アクセス対策」「内部不正対策」「リモート環境における資格情報ガード」「管理者権限管理」という順で多かった。そこで、現在、感じているセキュリティの不安について聞いてみた。

A氏

  私は、セキュリティ部 部長をしていますが、セキュリティの業務を通して一番怖いのは従業員のセキュリティリテラシーの低さですね。特に非開発系の方々は標的型攻撃やBEC(ビジネスメール詐欺)に引っかかりやすい。マルウェア感染のきっかけを作らないよう気を付けています。

 対策については、PCには振る舞い検知できるセキュリティ対策ソフトとEDR、ゲートウェイにはファイアウォールとIPS、そしてそれらのログをSIEMに集めて、通信先やIPSが遮断した通信などをチェックしています。これらは今年に入ってから、急務でこしらえました。BYODも、気づいたら勝手につながっていることがあるので、MACアドレスを全部保存しながら行動をチェックしています。次にやろうとしているのはユーザー、社員の振る舞いですね。例えば勤務時間外の深夜3時にアクセスがあったりするので、チェックは欠かせません。

C氏

 うちはBYOD絶対禁止です。先日そのためにロッカーを設置しました。厳しいがゆえに、セキュリティパッチが出たと報告しても、あまり興味を持ってくれません。そのくせ外部から言われると「どうなっているんだ」と絶対に聞かれる。そんな感じなので、堅いがゆえの盲点があるのではないかという思いもあります。セキュリティの専門部署がないことも不安です。結局、何人かの有識者の自助努力で頑張っているのが現状です。

A氏

 セキュリティには正解はないのです。100%守れるかといったら守れない。保険を買うのと同じ感覚でセキュリティ投資をしなくてはいけないのに、コストと考えてしまうと判断が鈍る。セキュリティの何が不安かというと「経営層のセキュリティ意識」ですね。2020年本当にこのままで大丈夫かという危機感が、日本にはないと思います。

 あとはセキュリティリテラシーですね。意識も変えないといけない。私たちの会社にもホワイトハッカーがいるのですが、あえて乗っ取って脅威をみせるということもさせています。トップページを切り替えてスケジュールを見えなくさせるだけでも、脅威として理解してくれます。リテラシーの低い人の行動を含めてログを取ったり、パスワードを盗んだりして、結構暴れています。

E氏

 セキュリティは大切だということは、言葉として皆さん知っていますよね。今日も製造系のお客様からお問い合わせがあって、社員にセキュリティ系の研修をして欲しいというのですが、その会社にはセキュリティポリシーがないと言うのです。いったい何を話せばよいのだろうかと悩んでしまいます。具体的に何が重要なのかも分からない人向けに、社長レベルから担当者レベルまでも含めて、気をつけなければと思わせる方法は何かないかというのが、今の私の課題です。

F氏

 お客様にセキュリティの不安を聞いても、おそらく分かっていない。でも、標的型攻撃やランサムウェアなどニュースで話題になることは気にする。私は今、クラウドのセキュリティ全般のコンサルティングという立場ですが、ほとんどのお客様は、自分たちが何を守らなくてはいけないのか、そのためにどれくらいのコストをかけるべきなのかという、ガバナンス自体がそもそもないことが多い。

 最近では、GDPRへの対策について聞かれます。でも、GDPRで一番大切なことは、GDPRで適用される個人情報がどこに保管していて、誰がそこにアクセスできるようにするべきかということなのです。経営層がデータ管理などの仕組みや重要性を理解しておらず、漠然とセキュリティに怯えているというのが実態なのではないでしょうか。

 クラウドを使うにあたっての情報漏えい対策でも、シャドーITの可視化をすると、金融機関のお客様でもひとつの会社で大体500本くらいのクラウドサービスが出てきます。厳しいお客様でもFacebookやTwitterなどに毎月数GBのデータがアップロードされています。これは、日本の企業のほとんどが、2003年から2005年の個人情報保護法が制定されたタイミングで情報漏えい対策のルールを策定したままなので、クラウドが監視対象になっていないのです。

 ガバナンスを整えていないのに、ピンポイントで投資するため、投資や対策にいくらかければよいか分からない。クラウド時代に適した情報セキュリティポリシーがあれば、ニュースで騒がれるたびに右往左往することもなくなると思います。ただ、そこに対して前向きなお客様も増えていて、知名度が上がってきたCASB(Cloud Access Security Broker)を考える傾向もあって、それほど悲観すべき状況ではないようにも思います。

A氏

 セキュリティはやはり可視化だと思います。可視化して課題が見つかれば対処の優先順位も考えるようになり、ポリシーやルールがきちんとできてくると思います。うちの会社も同じで、私たちもクラウドストレージを使っているのですが、家で仕事をしたいからと個人情報をそのまま個人のクラウドストレージにコピーするのですね。CASBで試験的に入れたら、そういうものがボロボロ出てきました。

F氏

 本当にありますね。例えばPoCをしてCASBを入れたら、契約社員の方が契約の切れるタイミングで自社のファイルサーバーに大量のファイルをコピーしていただとか。最近、IaaSで多いのがパブリッククラウドのアカウントをハッキングされて仮想通貨のマイニングに使われることですね。その結果、数百万円の請求が来たりします。標的型攻撃は昔ほど引っかからなくなって来ているので、アカウントをハッキングされる方が被害額も大きくなっている気がするのです。

D氏

 現職でセキュリティについて一番不安に思っているのは、やはりリテラシーの部分で、情報の棚卸しができていないことです。セキュリティ上重要な情報、ビジネスで重要な情報が分かっていないので、好きな場所に好き勝手に置くわけです。そのせいで守るべき範囲が広くなってしまう。だからまず何が重要なのかということをきっちり整理して、しかるべき場所に置けばすぐに守れるのです。

 クラウドについては、乗っ取られることが多いので、外側から守るだけでなく、内から外に出るものにも全部ファイアウォールでチェックする。そうしないと、自分が被害者ではなく加害者になってしまうこともあります。

F氏

 オンプレミスだったら資産管理台帳でアセットとして管理しますが、クラウドは誰も管理しないのです。その理由のひとつとして、パブリッククラウドはセキュリティに多大なコストをかけているから、オンプレミスを使うよりも安全なのだというところでクラウドに舵を切っているので、責任共有モデルだということを忘れてしまっているのですね。

A氏

 うちは非常に高い権限を持つアカウントで、全てのリソースにペイアカウントを発行して、事業部はそのペイヤーで動かしてもらっています。そのアウトプットがコストになるわけです。その全てを把握して、網羅的に見て、この時点の状態というのを毎日毎日クロールしてアウトプットを出していくというような感じにする。

 要は、棚卸しができないのはセキュリティ部としてもISMSの観点で危ない。リスクがどこにあるのかわからないので、定期的なチェックと棚卸し。それできちんと提出しないところは管理ができていないということで、追加教育という感じでやっています。そもそも情報セキュリティを知らない人たちがやっているのは危ないですよね。

 セキュリティグループでも、「家でもしたいから」と0.0.0.0で22番を開けている開発者がいるんですよ。私たちの会社では、開発者にいろいろな経験をさせるということで、パブリッククラウドの費用を一定額会社で負担するのですが、似たような感じで自分のソースのセキュリティキーをうっかりGitHubにあげてしまい、それを見つけられて、悪意のある人がそのキーを使って、インスタンスを立ち上げ、DDoSの攻撃をそこから行ってしまった。結果、アウトバウンドトラフィックが急増し、1日のでの費用が高額になったという事例もあります。

 こういうこともセキュリティを意識しているかしていないかなんですよね。

B氏

 メールがきっかけになるセキュリティリスクは多いと思うのですが、メールのセキュリティは会社によって全然違います。特に中小企業は啓発活動のやり方がいろいろ難しいだろうと、クライアント関連のセキュリティでは思っています。

 あとはクラウドサービスを使ったファイル共有や転送ですね。メールでは送れない大きいサイズのファイルもやり取りできるので便利なのですが、そこのセキュリティはあまり語られていない気がします。自社でも少し前に、顧客情報を含んだファイルを誰でも見られる環境にアップロードしてしまったことがありました。ノートPCやUSBメモリの紛失はよく聞きますが、誤ってアップロードしたことはニュースになった記憶がありませんが、実際にはたくさん起きている気がします。

F氏

 アップロードでは、最近クラウドストレージにデータをアップロードしていて設定をミスしていることがよくありますね、特に金融機関のお客様が使う理由が増えてきているので、そこのセキュリティ監査のニーズは非常に高まってきています。

 私たちの経験では、ソリューションを使ってシャドーITを可視化してみると、1社平均で1000個くらい出てきます。金融機関では500個くらい。また、クラウドストレージも20個から40個出てきます。情報システム部がクラウドストレージを検討中していたとしても、実際にはすでに使われているわけです。

A氏

 私はCASBと、会社で使うクラウドストレージの定義がきちんとできていればいいのかなと思います。きちんと見える化して適宜チェックしながら、新たに検知されたものは確認して、それも認めようかというのがセキュリティの動き方です。使うのは理由があるはずなので、頭ごなしに禁止するのではなく、きちんと理由を聞く。それがルールに合っていないのであれば、きちんと説明すればいいわけです。

インフォメーション
提供:日本ヒューレット・パッカード株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2019年5月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]