ページの本文へ

Hitachi

株式会社 日立情報通信エンジニアリング

2012年1月

営業窓口

企業システムに不正アクセスし、システムの破壊や機密データの不正入手などをおこなうサイバー攻撃は、従来の愉快犯的攻撃から、標的と目的を明確にした“標的型攻撃”にシフトしています。攻撃を受けた企業は金銭的な被害だけでなく、企業活動の停滞や社会的信用の失墜という深刻な被害をこうむるようになってきました。

当社はこのような脅威への対策のために、多層防御をポイントにして、お客さまのネットワークセキュリティを強化するソリューションを提供しています。セキュリティプランニングから事前検証、ネットワークシステム設計、構築、保守までワンストップで提供します。

サイバー攻撃対策やネットワークセキュリティ強化をご検討の際には、ぜひ当社にお問い合わせください。

図.日立情報通信エンジニアリングのネットワークセキュリティ

お問い合わせ

資料請求・お見積もり・ご相談は、こちらからお気軽にお問い合わせください。

巧妙かつ多様化するサイバー攻撃

増え続けるサイバー攻撃の被害

2011年、サイバー攻撃による被害は世界的に拡大しました。被害事例は国内にも広がっており、しばしば大きく報道されています。

例えばある企業は、ハッカーグループによるネットワークゲームサービスへのサイバー攻撃(DDoS攻撃*1)を受け、自社の情報サイトを断続的にダウンさせられるという被害をこうむりました。 さらに、このシステムへの不正アクセスにより、大量の個人情報が流出したことも明らかになりました。

またある防衛産業企業では、本社と生産拠点を含む複数拠点のサーバなど多くのコンピュータがマルウェアに感染し、IPアドレスなどの情報が流出した可能性が報じられました。

さらに衆議院でも、議員と秘書のID・パスワードの流出や、メールの盗み読みなどの被害に遭った可能性があるとのことです。

これらは氷山の一角であり、近年のサイバー攻撃は、攻撃対象となる企業・団体がまったく気付かないうちに、被害に遭っていると考えられています。

*1
Distributed Denial of Service:サービス不能攻撃

巧妙で悪質なサイバー攻撃

企業システムに不正アクセスし、システムの破壊や機密データの不正入手などをおこなう最近のサイバー攻撃は、従来の攻撃と比べると「攻撃目的」や「攻撃手法」などが明らかに変わってきています。(図1参照)

図1.サイバー攻撃の目的と特徴の変化
図1.サイバー攻撃の目的と特徴の変化


従来は「Webサイトのサービスを停止させる」あるいは「企業の機能を麻痺させる」といった“愉快犯”的な動機で攻撃を仕掛けていたものが、最近では「攻撃対象のシステムを破壊する」あるいは「顧客情報を不正に入手する」というように攻撃の目的・目標が明確化してきています。

その理由の一つは、金銭目的です。サイバー攻撃によって入手した顧客情報などの機密データを売却して金銭的利益を得る攻撃者が増えてきました。また、政治的思想を持つハクティビスト(ハッカーとアクティビスト(活動家)との造語)たちが、自分たちの理念に反する企業や組織を攻撃するというケースも増加しています。

攻撃の手法も、より巧妙になってきました。以前はスパムメールを不特定多数に送りつけるという単純な手法だったものが、今では攻撃対象がどこにあるのかを事前調査し、巧みにウイルスを潜り込ませる攻撃が増えてきています。例えば、攻撃対象企業を調べ上げ、すでに取り引きのある業者をかたった偽メールを送付し、添付されたファイルを開かせてウイルスに感染させるというような悪質な方法です。

また、OSやアプリケーションのセキュリティホールを修正するパッチが提供される前に、その脆弱性を突いて攻撃を仕掛けるゼロ・デイ攻撃や、特定の個人や組織に複数の攻撃手法を組み合わせて、執拗かつ継続的に攻撃を行うAPT*2攻撃など、さまざまな手法で攻撃を仕掛けるようになってきました。

このような最近のサイバー攻撃は、特定の組織や個人の機密情報を不正に入手したり、企業の基幹システムの停止などを目的としていることから「標的型攻撃」と呼ばれています。標的型攻撃は、「十分な事前調査をおこなった組織的犯行」、「目的達成のための悪質な手法」、「執拗で継続的な攻撃」など手口が巧妙で多様化しており、従来のセキュリティ対策だけでは防ぐことが困難になっています。

*2
Advanced Persistent Threat

セキュリティ対策は “攻めの投資”

悪質なサイバー攻撃に対するセキュリティ対策は、企業にとって非常に重要な経営課題の一つとなってきています。

セキュリティ対策は直接的な利益を生むものではないため、効果を実感しにくいという側面があります。その結果、実際に情報漏えいなどの事件が発生するまで、本腰を入れたセキュリティ対策に乗り出しにくいという現実があります。

しかし金銭的被害だけでなく、社会的信用まで失墜してしまった場合、計り知れない損害をこうむることになります。何かが起きてから慌てて対処するのではなく、事前にきちんとしたセキュリティ対策を実施しておく必要があります。

その際、セキュリティ対策にかける費用・工数は“経費”ではなく、企業の生産性を担保し、事業継続を支えるための“攻めの投資”だと考えるべきです。具体的な投資額としては、自社の情報システム予算全体に対するセキュリティ投資額の割合が1つの目安になります。つまり“自社のIT投資のうち、何%をセキュリティ投資に回すのか”を考えることが肝要です(図2参照)。

図2.(a)IT関連投資額
図2.(b)情報セキュリティ関連投資の割合
図2.IT関連投資額と情報セキュリティ関連投資の割合


またセキュリティ対策では、機密情報を守るというだけではなく、従業員も守るという意識が重要になります。

サイバー攻撃に対するリスクを低減させるためには、セキュリティシステムとして自動で防御できる部分をなるべく増やすという視点に立ち、人手でのミスもできるだけシステムでカバーすることによって、機密情報だけでなく大切な従業員もシステムで守るという考え方でセキュリティ対策に取り組むべきです。

サイバー攻撃を受けて情報漏えいなどの事件が起こってしまった場合、企業のセキュリティの脆弱性が問題視され、顧客や消費者に対する責任が問われることになります。社会に信頼される企業であり続けるという観点からも、またセキュリティリスクから従業員を守るという観点からも、今やセキュリティ対策は避けて通ることのできない経営課題なのです。

これからのセキュリティは“多層防御”

これからセキュリティ対策に取り組む際には、上述したサイバー攻撃の変化・特徴を考慮する必要があります。

攻撃目標を狙い定め、様々な方法によって攻撃を仕掛けてくるサイバー攻撃に対しては、企業側でも狙われる最終対象を分析して明らかにし、そこに至る各ポイントに対して“多層的”にセキュリティ対策を施していく事が効果的です。

また万一サイバー攻撃を受けた場合でも、被害を最小限に抑え、原状回復までの時間をいかに短縮するかという観点でセキュリティを考えることが重要です。例えばゼロ・デイ攻撃などを受けた時には、社内の機密情報が外部に漏れることを防がなければなりません。そのためには外部との通信を常に監視しておき、不審な通信トラフィックを検知したらそれを遮断するといった防御方法が効果的です。

サイバー攻撃は100%防ぎ切ることはできません。そこで企業に求められるのは、第一に、サイバー攻撃の最終目標に至る経路において“多層的”にセキュリティ対策を実施すること。第二に、万一攻撃を受けた場合でも、被害を最小限にとどめて、原状回復までの時間を最小限にする防御方法を施しておくことです。この“多層防御”が、これからのセキュリティ対策には求められることになります。

図3.サイバー攻撃に対処する多層防御の例
図3.サイバー攻撃に対処する多層防御の例


インターネットを基点にして、企業のITシステムに多層防御を適用する際のポイントを図3に示します。

社外ネットワークとの境界

インターネットなど社外ネットワークとの境界点で、自社のシステムへの攻撃をブロックしたり、侵入しそうな挙動を検知してそれを防ぎます(IPS*3)。また、社内から社外への情報流出・漏えいを検知して防ぎます。

Web, Email

Webアクセスや電子メールの通信に付随するマルウェア*4をブロックします。Webフィルタリングやスパムメール対策といった方法が挙げられます。

業務サーバ等

サーバにインストールしているアンチウイルスソフトだけでは発見が難しいマルウェアを検知・駆除したり、マルウェア自体をインストールさせない仕組みをあらかじめ実施します。

機密情報等

攻撃者が最終目標とする機密データが保管されている場所を守ります。暗号化やDLP*5などの対策を施します。

*3
Intrusion Prevention System:侵入防御システム
*4
ウイルスやワームなど、悪意のあるソフトウェアの総称
*5
Data Loss Prevention:情報漏えい防止対策

この例では、攻撃者の侵入ポイント(インターネット)から機密情報に至る経路において、“多層的”にセキュリティ対策を施しました。このように企業ITシステムにおける重要ポイントを十分に意識して、それぞれのポイントでセキュリティ対策を取ることが、最終的に企業をサイバー攻撃から守る拠り所となるのです。

当社が提供するネットワークセキュリティソリューション

当社は、ネットワーク基盤構築セキュリティIPテレフォニースマートなコラボレーション無線LANシステムサポートサービスなどICT基盤を支えるネットワークソリューションを提供しています。特にセキュリティについては、企業ITシステムに求められる“多層防御”に重点を置いて、お客さまが要望されるネットワークセキュリティの強化を、プランニングから事前検証、設計、構築、運用、保守までワンストップで実現するトータルソリューションを提供しています。

特長1. サイバー攻撃の最新動向などを踏まえたセキュリティプランニング

お客さまとご相談しながらセキュリティ対策を施すターゲットや範囲を決め、その環境を調査して想定される脅威分析をおこない、具体的なセキュリティプランを立案します。

例えばPCからの情報漏えい対策が主目的であれば、その前段の各層でマルウェアを実行させないための仕組みや、ユーザがマルウェアを含むメールを開けないための環境作りを検討するなどの提案をいたします。

お客さまのセキュリティ状況を可視化するために、セキュリティ機器の貸し出しサービスもおこなっております。現在のセキュリティ対策状況を正しく把握することは、有効なセキュリティ対策をプランニングする上で非常に重要です。こうしたセキュリティ状況可視化サービスも、当社のネットワークセキュリティソリューションを利用していただく大きなメリットです。

また、当社は株式会社 日立製作所の「Secureplaza」コンソーシアムメンバーであり、日立グループのさまざまなセキュリティ商品を組み合わせてご提案することも可能です。

特長2. セキュアなネットワークの設計・構築

多層的な防御を施すために、ITシステムを構成するネットワークと、それに接続されている機器の特性などに応じて“ゾーニング”を行い、各ゾーンに応じたセキュリティ対策を施すネットワーク環境の設計・構築を行います。

ゾーニングによって、セキュリティ対策レベルを可視化します。問題発生時の原因追跡や、今後の新たなセキュリティ上の脆弱性対策計画の立案が容易になります。

特長3. 著名セキュリティ製品ベンダとのパートナーシップ

お客さまに最先端のセキュリティを提供するため、著名なセキュリティベンダとパートナーシップを締結しています。マカフィー社とは国内では数少ない「エリートパートナー契約」を、シスコシステムズ社とは「ゴールドパートナー契約」を締結し、製品・サービスを存分に使いこなす専門チームを有しています。

先進の製品と、当社の技術力・ネットワーク構築力で、お客さまのご要望に応えるネットワークセキュリティをご提案します。

特長4. さまざまなセキュリティ強化を支援

当社のネットワークセキュリティソリューションは、上述したサイバー攻撃対策はもちろん、組込み機器・スマートフォンなどIT機器のセキュリティ確保や、SaaS型セキュリティサービスなど、お客さまのセキュリティ強化を支援します。

セキュアネットワーク構築事例

図4に、セキュアネットワークシステム構築事例を示します。

この企業では、顧客に納めるIT機器やITシステムの事前評価・検査・検証などを社内で実施しています。業務によってはPCを持ち出して顧客先でネットワーク調査をして、自社に戻って評価・検証するなどセキュリティリスクが高い作業もあります。

これらの業務内容に照らし合わせてセキュリティリスクを分析し、それに応じて社内ネットワークのゾーニングをおこない、それぞれのゾーンに適したセキュリティ対策を実施しました。

図4.セキュアネットワーク構築事例
図4.セキュアネットワーク構築事例


この事例における最大の特長は、“安全なPC持ち出し環境”を実現したことです。

営業担当者やサポートエンジニアの業務効率を考慮すると、外出先や顧客先に自社のPCを持ち出して使えることが望ましいが、重要なデータを保存したPCは紛失や盗難のリスクを抱えることになります。また出先で気付かないうちにPCがウイルスに感染した場合、持ち帰った後にそのままLANに接続してしまうと、感染は一気に社内に広がってしまいます。これらの課題を解決するため、2つの対策を実施しました。

まず、持ち出しPCを紛失したり盗難にあった際の情報保護のため、あらかじめ設定した持ち出し期間が過ぎたら情報にアクセスできなくさせるなどのセキュリティ対策を実施しました。また、検疫ゾーンを設けることで、社外に持ち出したPCが万一マルウェアに感染していても、社内への拡散を防ぐようにしました。

この対策に加えて、従来安全性の面から使用を禁止されていたUSBメモリを、暗号化されたセキュアなUSBメモリに切り替えることで安全性が確保でき、USBメモリの使用を可能にするなど、各ゾーンでの業務や作業内容に応じて利便性を確保しながらセキュリティの強化を施しました。その結果、導入企業様から 「セキュリティの強化はもちろん、USBメモリ使用などの利便性を向上させることで顧客の要望にスピーディーに対応することができ、業務効率と企業の信頼性を高めることができた」との評価をいただきました。

お問い合わせ

資料請求・お見積もり・ご相談は、こちらからお気軽にお問い合わせください。

お問い合わせ

資料請求・お見積もり・ご相談は、こちらからお気軽にお問い合わせください。