標的型攻撃や危険なWebサイトへの誘導など、セキュリティの脅威が日々増加しています。またスマートフォンやタブレットなどの新しいデバイスが次々と登場しています。こうした背景から、企業のWebアクセスセキュリティ対策は複雑化し、自社で運用することが困難になっています。それでは今後、企業はWebアクセスセキュリティ対策をいかに実現すべきなのでしょうか。
新たな脅威、新しいデバイスへの対応
大野氏: まずはウイルス・マルウェア対策の最新動向、特に国内外での傾向などについて聞かせていただけますか。
藤田氏: カスペルスキーでは、2013年1月に、2012年のマルウェアの発生状況を調査した「2012年度スパムレポート」を発表しました。興味深い結果としてスパムメールの件数は対前年比で8.2%減少しています。その要因としては、アンチスパムによる保護レベルの向上やプロバイダーのスパム解析技術の向上などが挙げられます。
また悪質なプログラムが添付された電子メールも昨年より3.4%減少しています。減少している要因としては、バナーやソーシャルメディア、ブログなどを利用したWeb広告が増えている背景から、攻撃する側も電子メールからWebサイトにうまく紛れ込ませるアプローチにシフトしてきており、Web媒体が新たな脅威になっていると考えられます。
大野氏: Webフィルタリングの最新動向についてはいかがでしょう。
高橋氏: 企業で利用されるWebフィルタリングですが、この10年で注目されたのは内部統制や日本版SOX法などの法令の施行でした。ログを取得したり、社員教育をしたり、管理されていなかったWebアクセスを管理したりというところからスタートしています。具体的な取り組みとしては、ソフトウェア製品やアプライアンス製品の導入でした。
この2~3年では、Webサイトから配布されるマルウェアの攻撃を防ぐ目的でWebフィルタリングの「出口対策」が注目されています。出口対策は、ファイアウォールなどで外からの攻撃を防いでも、マルウェアに感染したPCが内部から情報を漏えいしてしまう被害は防ぐことができないという課題を解決するための仕組みです。
企業の機密情報だけでなく、国家の機密情報を盗み出す犯罪が明るみに出るようになりましたが、すべてのWebアクセスを止めることは現実的ではありません。そこで入り口のチェックだけでなく、出口でも情報漏えいを防ぐ対策が必要であり、Webフィルタリングがあらためて注目されています。
藤田氏: カスペルスキーの専門チームは、2013年1月に世界各国の政府・外交機関を標的とした「レッドオクトーバー」と呼ばれる高度なサイバースパイ活動を特定しました。この攻撃は5年以上にわたり情報収集活動が続けられていることからも、いかに攻撃が巧妙になっているかを物語っています。以前は自分の力を誇示したいとか、目立ちたいなどの愉快犯が多かったのですが、現在は営利目的の攻撃も増えています。
大野氏: 新しい脅威はもちろんですが、その一方で新しいデバイスや新しい技術も次々に登場しています。新しいデバイスや技術に対するセキュリティ対策のあり方も変化しています。しかしセキュリティ対策は、利益を生み出す仕組みではないために、積極的に投資しにくい分野であるのが実情です。
しかし年々セキュリティ被害のリスクが高くなっていることから、投資とリスクのバランスが重要になっています。特にハッカー集団の攻撃などがニュースでも取り上げられるようになったことから、経営トップの考え方も変化しており、セキュリティ対策に対する要望が現場のシステム管理者にトップダウンでくることも増えています。
利便性を取るか、リスクを避けるか
大野氏: ウイルス・マルウェア対策において、ユーザー企業はどのような課題を抱えているのでしょう。
藤田氏: スマートフォンやタブレットなど、新しいデバイスが次々に登場し、企業においてもモバイルデバイスの利用率が高くなっています。一方、悪質なモバイルデバイス向けプログラムが2012年だけで3万5000件以上確認されました。また、そうしたモバイルデバイス向けプログラムの99%が、悪質なAndroidプログラムでした。Android端末は自由度が高く、企業システムに連携しやすいことが攻撃の多い要因となっています。
最近のモバイル端末は高性能なので、多くの企業が個人所有のモバイル端末を企業システムに利用したい(Bring Your Own Device:BYOD)と考えています。しかしBYODは、業務利用と個人利用の切り分けが難しく、そのバランスをどう取るかが大きな課題のひとつになります。利便性を取るか、リスクを避けるかのバランスです。
大野氏: 業務におけるWebアクセスにおいて、ユーザー企業はどのような課題を抱えているのでしょう。
高橋氏: 大きく5つのポイントがあります。まず1つ目は企業内部からのアクセスにより情報を漏えいさせる脅威に対する「出口対策」です。出口対策には、セキュリティの専門家を育成するか採用しなければならず、一般の企業では難しい問題といえます。
2つ目は「人的ミス」による情報漏えい対策です。業務でWeb環境を利用する機会が増えたことから、どれだけ人材育成や教育を行っても“うっかり”情報を漏えいしてしまうことがあります。この“うっかり”をどのように防ぐかが課題です。
3つ目は「運用管理の効率化」です。この5年間で企業のWebアクセスが2倍になっており、Web環境への投資も増加し、運用管理も複雑になっていることが背景です。
4つ目は増え続ける「デバイスの管理」です。以前はPCだけを管理しておけばよかったのですが、現在ではスマートフォンやタブレットなど、さまざまなデバイスを管理しなければなりません。そこでデバイスをいかに一元管理するかが重要になります。
5つ目は「最適なセキュリティの導入」です。ユーザー企業はセキュリティ専任の人材を採用したり、育成したりする余裕はありません。そこでアウトソースしたいと考えています。クラウドサービスに対する安心感も高まってきたことから、セキュリティ対策のひとつとして、クラウドサービスによるWebアクセスセキュリティが注目されはじめています。
大野氏: IIJではその課題を解決するために、安全なWebアクセスを実現するクラウド型Webセキュリティ対策「IIJセキュアWebゲートウェイサービス」を2009年1月から提供開始しています。そのサービスを採用しているお客様はかなり増えてきました。たとえばカルビー株式会社(以下、カルビー)の事例では、「最新のセキュリティ技術をキャッチアップするための知識や、定義ファイルの更新、システムの監視などの体制を自社で行うためには、多くの労力とコストを費やさなければなりません」「ITの重要性が増すなかで、ITを構築、運用するためには高度な技術力や最新の知識が求められます。これを社内で維持し続けるより、外部の専門家に任せたほうが技術、コストの両面で得策だと判断したのです」とお話になっています。
また最近では、新しいデバイスや脅威が増えたため、求められるセキュリティ対策も増加しています。セキュリティ対策のためのアプライアンスやソフトウェアを導入しても、それで終わりではなく、メンテナンスし続けなければなりません。
IIJセキュアWebゲートウェイサービスを採用する目的は、セキュリティを強化するとともに、システムの運用負荷を軽減し、TCO(総保有コスト)を削減できることなのです。
