著者: 山田 梨花 ( IIJ アメリカ, Service Development & Technical Planning )
IT RoadmapとはNetworkworld社が主催する企業のIT担当者向けのカンファレンスです。ITベンダ、リサーチ会社、コンサルタント、アドバイザーが自身の調査や経験をもとに今後の IT方向性について情報を提供しています。午前、午後の部に分かれてアプリケーションやデータのセキュリティ、VoIPやモバイル、ネットワークアクセスコントロール(NAC)、データセンター、WAN高速化など注目されているIT分野のセッションをいくつか提供しており、興味のあるセッションに参加できます。展示会も提供しており、セッションで紹介された技術を持つベンダーと直接情報交換できます。
他のカンファレンスと違い、参加者の社内での役割や IT管理に関するアンケートに答えて、その内容がIT Roadmapの参加者として妥当であれば、参加費用を無料にする方針を取っています。事前に参加者のバックグラウンドを見てフィルタをかける事により、ITに全く関連の無い人や、ベンダーが無料配布している小物目的の参加者などを省く事ができ、参加者と展示ベンダー・スポンサーの情報交換がより効果的にできるしくみになっています。今回の出展企業は80社前後で、参加者は約300人くらいでした。今回は今後のセキュリティについてセッションで語られていた事を一部ご紹介します。
他のカンファレンスと違い、参加者の社内での役割や IT管理に関するアンケートに答えて、その内容がIT Roadmapの参加者として妥当であれば、参加費用を無料にする方針を取っています。事前に参加者のバックグラウンドを見てフィルタをかける事により、ITに全く関連の無い人や、ベンダーが無料配布している小物目的の参加者などを省く事ができ、参加者と展示ベンダー・スポンサーの情報交換がより効果的にできるしくみになっています。今回の出展企業は80社前後で、参加者は約300人くらいでした。今回は今後のセキュリティについてセッションで語られていた事を一部ご紹介します。
 |  |
IDS/IPSは侵入検知システムで、内外部の両方からの異常なパケットの受け渡しを検知する事ができるので、DoS攻撃、情報への不正アクセスなど、ネットワーク内外からの不正侵入を検知する事が可能です。また、IPSは不正侵入を検知するだけではなく、不正侵入からネットワークやホストを保護するシステムです。
IDS/IPSは長期間市場に出回っている技術で、製品として成熟しつつあります。異常と判断する条件やそれらの対応方法を指定するポリシーの最適な設定方法は様々な状況で編み出されており、以前に比べると誤検知 (false positive, false negative) の発生率が大幅に少なくなっていそうです。そういった理由からセッションでは今後導入する企業が増えてくると予測されていました。
今後は不正侵入のデータパターンと比較して異常や侵入を検知するシグニチャベースのIDS/IPSから通常の作業ルーティーンとは違う挙動が検知された場合に、異常と判断するBehavioral IDS/IPSにシフトされていくと予測されていました。
IDS/IPSは長期間市場に出回っている技術で、製品として成熟しつつあります。異常と判断する条件やそれらの対応方法を指定するポリシーの最適な設定方法は様々な状況で編み出されており、以前に比べると誤検知 (false positive, false negative) の発生率が大幅に少なくなっていそうです。そういった理由からセッションでは今後導入する企業が増えてくると予測されていました。
今後は不正侵入のデータパターンと比較して異常や侵入を検知するシグニチャベースのIDS/IPSから通常の作業ルーティーンとは違う挙動が検知された場合に、異常と判断するBehavioral IDS/IPSにシフトされていくと予測されていました。
アプリケーションセキュリティのニーズについて話題になり始めたのはここ最近の話で、他のセキュリティに比べて新しい分野のようです。
OSやアプリケーションなどのまだ発見されていない脆弱性を$50,000で買い取る闇取引が東欧や南アメリカなどを中心にグローバルな市場で成り立っており、その脆弱性を突いて企業から個人情報を盗んで販売したり、それらの情報を使用してクレジットカードを作成して悪用するケースが増加しています。個人情報はオンラインなどで販売されており、Social Security番号(市場価格 $98、以下同)、PayPal アカウント($6)、クレジットカード番号とピン番号($490)、運転免許証($147)、出生証明書 ($147) が個人情報が手の届く範囲で入手できます。このような個人情報の盗難は主にアプリケーションの脆弱性を突いて行なわれる事が多く、これらの流通経路が無くならない限り、アプリケーションセキュリティの必要性がなくなる事はなさそうです。
セッションで紹介されていたエピソードによると、マフィアの殺人・恐喝などが以前に比べて件数が減少しているらしく、盗んできた個人情報を販売したり使用して商売したり、銀行システムやオンラインオンラインカジノのシステムに侵入して残高を操作したりなど、サイバー犯罪の方が人を殺めずに比較的簡単にできるので、そちらにビジネスが移行しているとの噂です。
OSやアプリケーションなどのまだ発見されていない脆弱性を$50,000で買い取る闇取引が東欧や南アメリカなどを中心にグローバルな市場で成り立っており、その脆弱性を突いて企業から個人情報を盗んで販売したり、それらの情報を使用してクレジットカードを作成して悪用するケースが増加しています。個人情報はオンラインなどで販売されており、Social Security番号(市場価格 $98、以下同)、PayPal アカウント($6)、クレジットカード番号とピン番号($490)、運転免許証($147)、出生証明書 ($147) が個人情報が手の届く範囲で入手できます。このような個人情報の盗難は主にアプリケーションの脆弱性を突いて行なわれる事が多く、これらの流通経路が無くならない限り、アプリケーションセキュリティの必要性がなくなる事はなさそうです。
セッションで紹介されていたエピソードによると、マフィアの殺人・恐喝などが以前に比べて件数が減少しているらしく、盗んできた個人情報を販売したり使用して商売したり、銀行システムやオンラインオンラインカジノのシステムに侵入して残高を操作したりなど、サイバー犯罪の方が人を殺めずに比較的簡単にできるので、そちらにビジネスが移行しているとの噂です。
VoIPを導入している企業では、被害に遭遇しているケースがあまり無く、VoIPのセキュリティに関して意識が薄い傾向にあるようです。
VoIPの脆弱性を突いて、他社のVoIPインフラを介して安価で VoIPサービスを提供していた会社のCEOが逮捕される事件が実際にありました。セッションコントロールだけでなく、DoS(Denial of Service)攻撃対策や、通信傍受対策も VoIPセキュリティとして考慮する事をお勧めします。また、Caller IDに表示される発信元を詐称して、銀行の担当者などになりすまして、会話を行ないながら個人情報を取得するフィッシング詐欺に近いソーシャルエンジニアリングの心配もあるようです。
VoIPの脆弱性を突いて、他社のVoIPインフラを介して安価で VoIPサービスを提供していた会社のCEOが逮捕される事件が実際にありました。セッションコントロールだけでなく、DoS(Denial of Service)攻撃対策や、通信傍受対策も VoIPセキュリティとして考慮する事をお勧めします。また、Caller IDに表示される発信元を詐称して、銀行の担当者などになりすまして、会話を行ないながら個人情報を取得するフィッシング詐欺に近いソーシャルエンジニアリングの心配もあるようです。
社内でWirelessLANを提供している場合は、Wi-Fiで提供しているWEPキーは、30秒で割り出す事ができるのでお勧めできません。また、WPAも1週間で割り出す事が可能なので、MACアドレスフィルタやアクセスコントロールなど、複数のセキュリティを適用する事が望ましいです。
定期的に各ソフトウェアベンダーからパッチがリリースされます。これらのパッチを当てないで放っておくと脆弱性を突いてサーバやネットワーク全体に攻撃を受けるリスクがありますが、パッチを当てると、稼働中のアプリケーションとの整合性が悪いと、アプリケーションが停止して使用できなくなる可能性があり、どちらを取っても不安要素があるようです。一般的にPCに対してはリリースされたらすぐにパッチを当てて、サーバの場合は十分に試験環境で動作確認ができた数ヶ月後にパッチを当てる企業が多いようです。
セキュリティはROI(ReturnonInvestment)が見えにくく、コストばかりかさむ印象が強いが、対策を怠るとシステム障害からサービス停止にビジネスロスや、情報漏洩が起こってしまった時に会社の信用性が下がってしまうなど、結果的に会社の損害になる可能性があります。セキュリティは会社の信用性を保つための保険として、実際に被害に遭遇する前に対応しておく事をお勧めします。
Conferenceのプログラムはこちらから
http://www.networkworld.com/events/santaclara07/agenda.html
Conferenceのプログラムはこちらから
http://www.networkworld.com/events/santaclara07/agenda.html
Copyright © 2007 IIJ America Inc. All Rights Reserved.