セキュリティマネジメントで重要なのは、新しい脅威や攻撃手法の変化に対して新しい対策技術や運用ポリシーなどを適用していく改善サイクルにあるとも言われている。改善サイクルを動かすのは攻撃者側の変化だけではない。社会の変化、法改正、もっと直接的にはビジネス環境の変化によっても新しい対策を考えなければならないことがある。このように語るのは、EMCジャパン株式会社 RSA事業本部 マーケティング部 部長の水村明博氏だ。水村氏は「パスワードリスト攻撃などが増えており、その対策が叫ばれていますが、脅威に備えるだけがセキュリティではありません。セキュリティは業務スタイルやプロセスの変化など、その時代の社会に合わせて変化するものであり、企業におけるセキュリティ対策は、従業員が働くうえでの利便性を高める意味でも重要です」と語る。RSA事業本部提供資料「あなたも狙われている ~効果的な認証で身を守る~」https://archives.netsecurity.ne.jp/a.p/121/●時間・場所を選ばない社会的要求近年でいえば、クラウドコンピューティングやモバイルデバイスの普及がコンピューティングだけでなく、さまざまな業界のワークスタイルも変えようとしている。例えば、少子高齢化に端を発する人口減少・介護の問題から、オフィスにとらわれないワークスタイルが注目されている。産休や育児休暇を取りやすくしたり復職しやすくしたりするため、在宅での作業を広げる動きがある。「ブローバンド環境やモバイルネットワークの整備が、リモートオフィスや外出先からの作業を後押ししています。タブレットやスマートフォンの業務利用が進んでいることも、これらの社会的欲求が追い風となっているのではないでしょうか」と水村氏は分析する。また、ワークライフバランスといった考え方からは、裁量労働の幅を広げる(ホワイトカラーエクゼンプション)といった動きもある。フレックスタイムのような柔軟な勤務時間体系は、自宅や出先でも業務ができるかどうかも、その成否や効率に関わる。また、震災をきっかけに、DR(ディザスタリカバリ)、BCP(事業継続計画)のために、クラウドやモバイルネットワークの活用は必須だと考える企業が増えた。●リモートオフィス・モバイル活用を支えるアクセスセキュリティ在宅勤務やリモートオフィスのような業務スタイルをセキュリティ視点で見た場合、重要なのはアクセスセキュリティだ。ノートPC、タブレット、スマートフォンなどは接続場所やネットワークが固定ではないため、接続先、接続元、経路が適切であるかどうか判断する必要がある。具体的には、会社のPCやイントラネットを前提としていたセキュリティから、個人所有端末や喫茶店のWi-Fi環境からのアクセスまでを考えたセキュリティへの変換だ。リモートアクセスのセキュリティでは、まず認証強化が対策の第一歩となる。その基本はIDとパスワードの管理だ。技術的にはパスワードの強度を上げるため、短いパスワード、アルファベットのみの単純なパスワードの登録を認めないような施策がある。有効期限を設定し、強制的にパスワードを変更させるという方法もある。パスワードリスト攻撃対策のため、同じパスワードを使いまわすことを避けるという運用を勧められることもある。他にもワンタイムパスワード、電子証明書、マトリクス認証、バイオメトリクス認証などの技術的な対策もある。ワンタイムパスワードには、ハードウェアトークンを使うものが一般的だが、最近では携帯電話やスマートフォンなどにキーを送信するソフトウェアトークンのワンタイムパスワードの利用も広がっている。さらに高度な認証として、リスクベース認証にも注目が集まっている。リスクベース認証では、ログイン操作のコンテキスト、シチュエーションを判断し、いつもと違う端末からのログイン、不自然な時間やタイミングでのログイン、機械的なログイン操作などは、たとえパスワードが一致しても追加認証(PINコード、秘密の質問など)を要求する。●ユーザーの意識と行動のギャップアクセス認証の対策さえすれば、クラウド時代、モバイル時代のセキュリティは万全かというと、決してそんなことはない。水村氏も「リモート環境では、アクセス認証が業務やセキュリティ対策の起点となりますが、全体的な対策として、ファイアウォール・IPS/IDSのような入口対策、モニタリングやログ解析など完全性や信頼性の監視など、レイヤごとの対策なくしてセキュリティはありません」と釘を刺す。続けて、ユーザー側にも、セキュリティ対する意識と現実の「ギャップ」を認識してほしいという。一般的にモバイル前提のシステムでは、サーバーやクラウド側に情報が集約され端末はシンクライアント化するので、セキュリティはむしろ強化されると考えられる。間違いではないが、そこに落とし穴があると水村氏は言う。「ユーザーが端末を紛失したり、盗難されてもデータはクラウドにあるから大丈夫と考えがちですが、攻撃者にとって端末を盗むより、リモートでサーバーを攻撃する方が簡単な場合もあるのです」というのだ。また、フィッシングサイトに気づかず情報を入力してしまったり、端末にトロイの木馬などのマルウェアの侵入を許してしまったりした場合、IDやパスワードが流出してしまう。フィッシングサイトでは、本人がパスワードを入力してしまうので技術的な対策には限界がある。スマートフォンなどは、自分でアプリをダウンロード、インストールしなければマルウェアに情報を盗まれることはないが、これも正規アプリや安全なアプリと騙されていれば、マルウェアの実行を止めることは難しい。スマートフォンやタブレットのセキュリティ対策において、利用者の意識や注意がいかに重要かということだ。EMCが行った調査(プライバシーインデックス)では、多くのユーザーが政府や企業のサービスを信用していないにもかかわらず、SNSなどのサービスを利用しているという実態が浮かび上がっている。このようなギャップを解消するには、政府や企業には、安心してサービスを利用してもらうような取り組みも必要だが、ユーザー側もセキュリティ意識の持ち方を考えるべきだろう。RSA事業本部提供資料「Frost & Sullivan あなたも狙われている ~効果的な認証で身を守る~」https://archives.netsecurity.ne.jp/a.p/121/
