横浜銀行のカード偽造事件、日本航空(JAL)のマイレージ不正交換、有名IT企業すら侵入を許す標的型攻撃、挙げ句の果ては、米国家安全保障局の盗聴疑惑――。
情報システムのセキュリティへの信頼は、今や地に墜ちた。
社内に潜む敵を想定しない業務システム、ずさんな権限管理、脆弱なパスワードや暗号技術といった負の遺産「セキュリティレガシー」を一掃しない限り、失った信頼は取り戻せない。
どのデータを、どのような手段で「敵」から守り切るか、今こそ社内のデータ安全保障戦略を見直すことが求められる。

(浅川 直輝、中田 敦)

part1 負の遺産を一掃せよ
part2 浜銀、JALの失敗から学ぶ
part3 動かないコンピュータ 特別編
           米国家安全保障局が「マルウエア」作成


【無料】特別編集版(電子版)を差し上げます 本記事は日経コンピュータ2014年3月6日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文は、日経BPストアの【無料】特別編集版(電子版)で、PCやスマートフォンにて、3月12日よりお読みいただけます。なお本号のご購入はバックナンバーをご利用ください。

 誰が、機密データや顧客の個人情報を保護する責任を持つのか。2014年2月に横浜銀行で発覚したカード偽造事件は、そのことを全ての企業に問う大事件だった。

 「社内ネットワークの中は安全」「我が社の社員は内部犯行など起こさない」――。こうした根拠のない信頼は、世界で多発するセキュリティ事件をみれば、根本から見直す必要があるのは明らかだ()。日本マイクロソフトでチーフセキュリティアドバイザーを務める高橋正和氏は「古い業務システムには、社員や社内ネットを過度に信頼し、秘密情報のマスク処理やパスワードポリシー設定などの基本を守っていない仕様のものが多くある」と警鐘を鳴らす。

図●2013年6月~2014年2月までに発生した国内外の主なセキュリティ事件
[画像のクリックで拡大表示]

 標的型攻撃という言葉もなかった牧歌的な時代に、社内外の狡猾な敵を想定せずにセキュリティ仕様を決めた情報システムの負の遺産「セキュリティレガシー」が今、企業を危険にさらしている。

 セキュリティレガシーは、消費者向けサービスにも根深く残っている。2014年2月に利用者のマイレージを不正に使われた日本航空では、パスワードが数字6桁という脆弱な仕様だった。ラックの西本逸郎取締役は「国内の半数以上のサイトが、パスワードを忘れた顧客に教える目的で平文で保管している」と推測する。ある外資系IT企業の幹部は「実店舗を持つ流通業の多くは、いまだにクレジットカード番号を顧客IDにしている」と明かす。このためカード番号を秘密情報として隠蔽できないという。

セキュリティのインフラ自体が弱点に

 昨今の標的型攻撃は、こうしたセキュリティレガシーを巧妙に突いてくる。ファイアウォールなどの境界防御型のセキュリティ技術は、最新の攻撃手法の前にはほとんど無力だ。

 それだけではなく、近年ではむしろセキュリティインフラ自体が標的になっている。Active Directoryに代表される認証システム、デジタル証明書、ソフトウエア更新サーバーなどが狙われているのだ。2013年6月に発覚した標的型攻撃では、攻撃者はブラウザー開発会社であるオペラに侵入してデジタル証明書を盗み、ウイルスの拡散に悪用した。

 もはや、社員、社内ネット、セキュリティ技術への信頼だけでデータを守り切ることはできない。米国家安全保障局(NSA)が、標準の暗号技術にデータを解読できる脆弱性を埋め込んだ疑いが持たれていることは、データの漏洩を防ぐセキュリティ技術への信頼が失われた時代を象徴している。

 ラックの西本氏は「データ管理をIT企業に丸投げし、実際にデータを扱う現場技術者の給与や待遇も知らないようでは、顧客のデータを守る企業の責任を放棄したのと同じ」と指摘する。企業はセキュリティレガシーをゼロベースで見直し、新たなデータ安全保障の体制を築くべきだ。


続きは日経コンピュータ3月6日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。


出典:2014年3月6日号
記事は執筆時の情報に基づいており、現在では異なる場合があります。