境界セキュリティの限界とエンドツーエンドセキュリティの必要性(2)「内なる敵」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

境界セキュリティの限界とエンドツーエンドセキュリティの必要性(2)「内なる敵」

特集 特集

SSH コミュニケーションズ・セキュリティ株式会社 橋本詩保
http://www.jp.ssh.com/

>>内なる敵

今日の境界線のセキュリティ防御に対抗するため、ハッカーはさらに巧妙な技術やアプローチを開発しています。代表例として、ポート80経由で内部ネットワークにアクセスすることが挙げられます。内部ネットワークに侵入すると、ハッカーは疑いを持たない内部関係者をだまして境界線の内部に「トロイの木馬」ソフトウェアを仕掛けるウェブサイトを訪問させます。このソフトウェアは機密データを収集してハッカーの元に送信する役割を果たします。また、悪意を持ったあるいは金銭を目的とした内部関係者が顧客情報を持ち出す事件が現実に起こっています。

しかし、これは氷山の一角に過ぎません。今日の真の課題は、内部に存在するITセキュリティの脅威への対処です。古い時代に、偶然であれ意図的であれ、信頼された内部関係者によって緻密な防衛線内での防御が簡単に打ち破られたのと同様に、ITの防衛線内での防衛も会社の従業員によって打破されるということがあり得ます。

そしてその脅威は、ほとんどの人が考えているよりも大きいのです。Gartnerの調査によると、情報システムへの不正アクセスの70%が社員によるものであり、これらの内部セキュリティ侵害の95%以上が大規模な財務上の損失をもたらしています 。さらに、Computer Security InstituteおよびFBIの調査によると、大規模な組織に対する内部関係者の攻撃により平均270万ドルの損害が生じているのに対し、外部からの攻撃による損害額は平均してわずか5万7,000ドルにとどまっています 。また、金銭的な被害のみならず、顧客情報の漏洩によって企業としての信頼を失うリスクも伴います。

境界線のITセキュリティソリューションのみに依存していては十分ではないことは明白です。社員記録、顧客情報、パスワードやその他の機密データなど、組織に不可欠な情報の大部分は組織のイントラネット全域で無防備な状態で送信されています。多くの場合、悪意のない社員が不注意により組織の内部と外部の双方において同僚に機密情報を漏らしてしまっているケースもあります。機密データを収集するための使いやすいネットワーク・スニッフィング(データ傍受)プログラムは誰でも容易に入手できるため、その動機の如何にかかわらず、初心者でさえもこのような内部攻撃を実行できます。また、P2Pソフトウェアの不注意な使用により本人の気づかないうちに重大な機密情報が漏洩していることもあります。さらに悪いことには、TCP/IPネットワークは本質的に匿名での操作が可能なため、犯人を特定して最終的に捕らえることが極めて困難です。

企業の機密ITデータは内部関係者によってさまざまな形で外部に洩らされます。例えば、以下のような例が挙げられます。

・内部ネットワークへのセキュアでない無線アクセス(WLAN)を行っている際の近隣者による傍受
・内部LANへの正規のアクセス権を持つ社員で、会社に対して不満を抱いている者や金銭を目的とした者
・単純なパスワードを使用し、または不注意により機密情報を組織外の人物に漏らす、セキュリティに関する適切な研修を受けていない(悪意のない)社員
・機密アプリケーションからのログアウトを忘れ、ワークステーションを権限を持たない人物が使用できる状態のままにするユーザ
・インターネットカフェなどの遠隔地からウェブベースのアプリケーションを使用して内部ネットワークにアクセスした後、Webのキャッシュを消去し忘れて、その後に使用するユーザに機密データへのアクセス権を与えてしまうユーザ
・WAP対応の携帯電話またはブルートゥース対応のラップトップ経由で接続された携帯電話を使用して内部ネットワークにアクセスするユーザ
・ウィルスに感染したP2Pソフトウェアによる顧客情報など機密情報の漏洩

新たな技術により、これらのセキュリティの脆弱性が記録的な数で悪用されています。例えば、パスワードの傍受およびIPパケットの隠蔽など、さまざまな攻撃方法を自動化して結合するネットワークワームが出現しており、これらのワームが無防備な内部ネットワークにアクセスできるようになると、相当な損失をもたらす可能性があります。

残念ながら、最近大きく取り上げられている多数のウイルス事件とは異なり、内部セキュリティの侵害はほぼ常に隠れたところで発生しており、一般に知られることはほとんどありません。多くの組織がこのような侵害を公表しない理由としては、不面目となる可能性、長期的な信用の失墜および広報上のマイナス効果などがあります。しかし、こうした事実が広く一般に知られていないために、情報セキュリティベンダおよび組織のIT予算担当者は境界線のセキュリティの強化のみを重視し続けています。

その結果、今日では多くの企業および政府機関において、内部アプリケーションおよびデータレポジトリに企業ネットワーク全体の機密性、データの整合性および強力な認証を提供する、完全なエンドツーエンドの通信セキュリティソリューションを導入し、既存の境界線のセキュリティを補強するための強いニーズが生まれています。

【執筆:橋本詩保】

SSH コミュニケーションズ・セキュリティ株式会社
http://www.jp.ssh.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×