2012.12.17 Mon

 もうすぐやってくる年末年始は、リスクがとりわけ大きくなることをご存知でしょうか。安心して休暇をとるために、どんなセキュリティ対策が必要なのか。セキュリティ対策を提供しているクラウドサービスを紹介します。

 

セキュリティの危険性が増す年末年始の休暇

 JR東日本、ローソン、ハウス食品、ホンダ。何のことかわかりますでしょうか。
これらは、過去の年末年始にWebサイトの改ざん被害を受けた企業です。2009年〜2010年の年末年始においては、大手企業だけではなく、官公庁や中小企業・中堅企業も含めて約130社が、「Gumblar(2009年5月から急激に感染が拡大したコンピュータウイルスの一種)」の被害を受けたのは、まだ記憶に新しいのではないでしょうか。
 このときは、不正アクセスによって、コンピューターにウイルスを埋め込み、ファイル転送機能のFTPのアカウントを攻撃者に送信することによって、Webサイトの改ざんを可能としていました。同様の手口は、現在ではウイルス対策ソフトを最新の状態にすることによって防げるようになっていますが、それでも新たな攻撃の手口は次々に登場しており、運用管理者はセキュリティ対策にけっして手を抜くことはできません。
 日本ネットワークセキュリティ協会の『2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編~』によれば、漏えい原因としては、「誤操作」(34.8%)に次いで「管理ミス」(32%)が大きくなっています。つまり、技術的な対策はさておき、サーバーを管理する側の体制整備や管理徹底が求められていると言えます。
 とくに、オフィスに管理者が不在になりがちな年末年始においては、このセキュリティのリスクが大きくなります。また、自宅でインターネットを使う頻度も増えるため、休み明けにウイルスに感染したUSBメモリを社内に持ち込んでくる可能性も高くなります。
 そこで、年末年始の休みを迎える前に取り組んでおきたい、セキュリティ対策について紹介します。

 

セキュリティの脅威と対応策

 セキュリティの脅威は、会社のWebサイトから社員宛の電子メール、個人保有のUSBメモリにいたるまであらゆるところに存在します。分類すると、技術的脅威、物理的脅威、人的脅威の3つにまとめられます。

(1)技術的脅威
 Webサイトやネットワークに対して、技術を使った意図的な攻撃などの脅威です。ネットワーク経由で外部から侵入し、Webサイトを改ざんしたり、サーバーに保管されている機密情報を不正に入手したりします。また、特定のサーバーやネットワークに大量の負荷を与えて利用不能にするDoS(Denial of Service)攻撃もあります。これからは、日々、アクセスログを見ていれば、いつもとは異なる傾向に気づき対処できることもあるのですが、管理者が不在で気づきにくい年末年始には対応が遅れがちになります。

(2)物理的脅威
 物理的脅威には自然災害や火災などによるもの、外部からの侵入者によるものがあります。サーバーを管理しているエリアのセキュリティ管理が徹底されていないと、外部から侵入されて機器が盗難にあう可能性があります。また、パスワード管理に問題があれば、気づかないうちに、サーバー内のデータを盗まれてしまう危険性もあります。年末年始は、サーバー管理者だけではなく、社員全般が出社していません。したがって、このリスクも大きくなります。

(3)人的脅威
 人の不注意や過失、不正行為による脅威です。管理者の設定ミスや誤操作、データの持ち出し、許可されていないソフトウェアの利用などがあります。管理者がサーバーOSのセキュリティパッチの適用を漏らしたり、アンチウイルスソフトのウイルス定義ファイルの更新を怠ると、ウイルスに感染しやすくなります。ウイルスの発生頻度が高い年末年始になれば危険性は増幅します。また、年末年始は、オフィスに人が不在となるため、USBメモリを持ち込んでデータを持ち出したりする可能性も一段と高まります。

 これらの脅威に対し、年末年始に管理者を出勤させたりせずに、あらかじめセキュリティ対策をうつには、どのような方法があるのでしょうか。
 一つの解決方法として、セキュリティが確保されたクラウドサービスの利用があります。クラウドは、物理的なセキュリティが確保されたデータセンターでサーバーが管理され、最新のウイルスパターンファイルやセキュリティパッチが常に最新に保たれセキュリティレベルが維持できています。したがって、自前でサーバーを管理よりも手間を大幅に省くことができます。
 また、自社内での対策についても、ウイルス対策だけでなく、不正アクセスやDoS攻撃にも対応した統合セキュリティシステム製品を導入するケースが増えています。こうしたソリューションについて、具体的に見ていきましょう。

 

2013年 注目のセキュリティソリューション

 中堅の製造業A社では、これまでメールサーバーなどを社内に設置して管理をしてきました。しかし、OSの度重なるバージョンアップに付随してセキュリティパッチをあて続けなければならないこと、また、特定の組織や企業に標的にし、機密情報の盗み見や改ざんを行なう標的型攻撃など、複雑化する最新のセキュリティリスクへの対応に苦慮していました。そこで検討したのが以下の3つです。

・Webサーバーホスティング
・UTM(Unified Threat Management/統合脅威管理)の導入
・フルマネージド・セキュリティ管理サービス

具体的に、どのようなものなのか見ていきましょう。

(1)Webサーバーホスティング
 サーバーを外部のサービス業者の環境に構築する方法です。自前でサーバーの運用管理をする必要がありません。24時間監視のデータセンターに置かれ、DoS攻撃などに対応できるIPS(Intrusion Prevention System/不正侵入防御システム)などが導入されている場合には、セキュリティレベルも確保できます。自社でIPSなどを導入してもいいのですが、ホスティングサービスの場合、サービスレベルにもよりますが基本的に24時間365日対応のため、年末年始の長期休みの間に脅威が発生しても対策がうてるという利点があります。また、社外にサーバーを置くことになるため、災害など物理的な脅威からシステムを守ることができる唯一の手段となります。

(2)UTMの導入
 UTMとは、ファイアウォールとVPNをベースにウイルス対策などの複数のセキュリティ機能を詰め込み、オールインワンでセキュリティ機能を付加するシステムです。必要なセキュリティソフトをサーバー用ハードウェアに組み込んだ「アプライアンスサーバー」と呼ばれる形で提供されることが多く、購入・設置したその日からすぐ利用できるのも大きなメリットです。これにより、複数のセキュリティ対策ソフトを導入する必要もなく、設定や管理の手間を省くことができます。イニシャルコストを抑えられる反面、専用の機能を提供する製品よりも機能が劣る傾向にあり、また、インターネットアクセスのパフォーマンスにも留意する必要があります。

(3)フルマネージド・セキュリティ管理サービス
 フルマネージド・セキュリティ管理サービスは、外部にセキュリティ管理を委託するサービスです。社内とインターネットの境界に設置したファイアウォールや、UTMなどのセキュリティ機器の運用管理を、外部に任せる形態です。外部のセキュリティオペレーションセンターからリモートで、セキュリティ監視やセキュリティ機能の運用、インシデント発生時の対応支援が提供されるため、サーバーの運用管理者は、専門的な知識がなくても、セキュリティを確保することができます。最近では、このサービスがクラウドで提供されており、セキュリティに関する運用管理負荷を大幅に削減できます。

 A社では、年末年始のセキュリティリスクについて、自社でできること・外部のサービスに委託できることを表にまとめました。

セキュリティリスク対処法 
※ウイルス対策ソフトやUTM管理と更新、クライアントマシンの管理などは自社内での対応が必須

【過去の関連記事】
UTM(統合脅威管理)の導入 
メールサーバーのアウトソース 
ファイルサーバーのアウトソース 
フルマネージド・セキュリティサービスの利用 
メール監査サービスの利用

 運用負荷はかかりますが、ウイルス対策や不正アクセスなどの脅威に対しては、自社内にUTMなどを導入することで対処できそうです。しかしセキュリティ対策の導入スピードや運用管理負荷の軽減はもちろん、社員による情報の持ち出しのリスクや自然災害への対応を考えた結果、クラウドサービスを選択しました。
 ホスティングサービスの中には、不正アクセスなどへの対処を組み込んだサービスがあります。こうしたサービスと、自社内でできることを組み合わせ、常に安心・安全なシステム環境を整えておきましょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

関連キーワード