ナレッジ

掲載月:2019年8月

相次ぐ「情報漏えい」「不正アクセス」、次はあなたの会社かも

国が推進するキャッシュレス化や2020年の東京オリンピック・パラリンピック、2025年の大阪万博を背景に、新サービスが次々とリリースされている。その一方で、サービスリリースのスピードを高めるために、セキュリティ対策がおろそかになっているケースも見受けられる。
気づかない間に、企業が陥ってしまうセキュリティリスクとは何か。対策も含めて整理した。

セキュリティ対策働き方改革テレワーク

スピードと同時に、セキュリティも求められる

いま、多くの企業がデジタル技術を活用してビジネスの変革に取り組んでいる。そこで重視されるのは「スピード」だ。いち早くサービスをリリースし、利用者の反応を見ながら改善していく。「Fail Fast(フェイルファースト)」のかけ声のもと、失敗を恐れず新しいことにチャレンジする企業が増えている。

しかし、ことセキュリティに関しては、1回の失敗がすべてを台無しにすることもある。本当にそれでも「ウチは大丈夫」「ウチは関係ない」と耳をふさいでいられるだろうか。

たとえば現在、事業部門が主体となって、Webサービスやモバイルアプリを開発・運用している企業が増えている。部門によって開発パートナーが異なることも珍しくない中、一貫したセキュリティを担保することはできているだろうか。また、現在のWebサービスやモバイルアプリは、APIでほかのシステムとバックグラウンドで連携している。その連携部分のセキュリティは、誰が保証するのだろうか。

こうした状況を冷静に見渡せば、情報漏えい事故を他人事といえる企業はほとんどないはずだ。2020年には東京オリンピック・パラリンピック、2025年には大阪万博を控え、それに応じてサイバー攻撃も増加すると言われる。ではこの厳しい状況に、企業はどう対処すればよいのだろうか。

セキュリティアナリストが
システム全体をチェックする脆弱性診断サービス

小山内博信氏 株式会社インテック
ネットワーク&アウトソーシング事業本部
セキュリティサービス部 セキュリティシステム課
小山内 博信氏

現在の企業システムが置かれた危険な状況を、インテック ネットワーク&アウトソーシング事業本部 セキュリティサービス部 セキュリティシステム課の小山内 博信氏は、次のように説明する。

「たとえば、Webアプリケーションへの攻撃手法としては、SQLインジェクションやクロスサイトスクリプティングなどが有名です。こうした攻撃には、IPS、WAFなどの対策が一定の効果があります。しかし、システム間が様々な方法で連携されている現在はそれだけでは不十分です。システム間の連携部分、システムの運用まで含めたトータルでのセキュリティ対策が不可欠なのです」(小山内氏)

ただし、前述のようにスピードが重視され、開発体制がバラバラな状況では、システム全体をトータルで見ることは難しい。この課題を解決する第一歩となるのが、インテックが提供する脆弱性診断サービス『EINS/SVA』(アインス エスヴイエー)だ。その特長を、小山内氏は次のように説明する。

「脆弱性診断にはさまざまな種類がありますが、『EINS/SVA』は、セキュリティアナリストによる多角的な診断に力を入れているのが特長です。たとえば、Webアプリケーションやモバイルアプリをアナリストが実際に操作して、動作や通信内容を詳細にチェックします」(小山内氏)

セキュリティアナリストとは、OSやミドルウェア、サーバ、ネットワーク、アプリケーション、Web、モバイルなど、さまざまな領域・レイヤーの専門家のことだ。

脆弱性診断の中には、サーバのみ、ネットワーク機器のみというように限られた領域だけをチェックするものも多い。これに対して、『EINS/SVA』では多様な知識・経験を持つ複数のセキュリティアナリストが、それぞれの視点から診断する。システム間の連携やシステム全体を見るなら、後者の方が有効であるのはいうまでもない。

4つのサービスを組み合わせて利用

竹松茉那氏 株式会社インテック
ネットワーク&アウトソーシング事業本部
事業推進部
竹松 茉那氏

『EINS/SVA』には、「Webアプリケーション診断」「ネットワークセキュリティ診断」「サーバ設定診断」「モバイルアプリケーション診断」の4つのメニューが用意されている。ユーザーは、この4つのメニューを組み合わせて利用することになる。ネットワーク&アウトソーシング事業本部 事業推進部 竹松 茉那氏は、次のように説明する。

「どこから診断すればよいのか分からないというお客さまの声も少なくありませんので、まずはご相談ください。ヒアリングを進めながら、どのメニューを組み合わせるのが最適なのかを、実施方法やタイミングも含めてご提案します」(竹松氏)

「EINS/SVA」は
システム全体に対する診断サービスだ

利用するメニューが決まったら、検査ツールとセキュリティアナリストによるマニュアル検査が行われる。検査が終了するとアナリストによる分析が行われ、約2週間後に診断結果の報告会が実施される。報告会には分析を担当したセキュリティアナリスト自身が参加し、詳細な報告書を元に説明が行われる。

『EINS/SVA』の活用方法はさまざまだ。Webサービスやモバイルアプリのリリース前にポイントソリューションとして利用されるケースが多いが、より総合的に活用する企業も増えているという。

「たとえば、あるお客さまは複数のWebサービスを開発・運用されていますが、担当部門がバラバラでした。そのためセキュリティの基準もバラバラで、安全性に不安を感じられていました。そこで会社全体として『EINS/SVA』を採用し、すべてのWebサービスのセキュリティを同じ基準で定期的に診断する仕組みを構築されました」(竹松氏)

企業の事業部門が複数のWebサービスやモバイルアプリを開発・運用することは、今後も増えるだろう。それに伴って、こうしたケースも増えてくると予想される。

診断後の解決提案で活かされる
システムインテグレーターとしての経験・ノウハウ

一貫したセキュリティポリシーを適用するという観点で、『EINS/SVA』を開発工程に組み込む事例もあるという。

「脆弱性診断は、開発の最終工程で実施するのが一般的です。そうではなく、『EINS/SVA』をあらかじめ開発工程に組み込むことで、より効率的かつスピーディに診断するアプローチをとっているお客さまもいらっしゃいます」(小山内氏)

また、稼働中のサービスに対して脆弱性診断を行った結果、極めて重大な問題が発見された事例もあるという。

「その事例では、最終的に修正は不可能だと判断され、サービスそのものをクローズすることになりました。残念な結果ではありましたが、もしもそのままサービスを継続していたら、大変な事故につながっていた可能性もあります。それを考えると、事前に防ぐことができた意味は大きかったと思います」(小山内氏)

『EINS/SVA』のもう1つの特長が、診断後の対応が充実していることだ。インテックは、独立系のシステムインテグレーター(SIer)として長い歴史と豊富な実績を持っている。それは、発見された脆弱性に対し、さまざまな解決方法を提案できることを意味する。

「お客さまとの会話から状況や課題を把握してソリューションを提案することは、我々がSIerとしてずっと培ってきたことです。オンプレミスやクラウドハイブリッド環境まで、お客さまのシステムを把握・構築するのは得意分野です。単に脆弱性そのものへの対策だけでなく、その周辺を含めた総合的な解決方法を提案できるのがインテックの強みです」(小山内氏)

インテックは社内ネットワークの入り口対策や情報漏えい対策はもちろん、システムを論理分割するインターネット分離ソリューションやログ監視、マルウェア対策など、ユーザーの課題に合わせてさまざまな選択肢を用意しているという。

いくらビジネスにスピードが必要とされても、「セキュリティ」をおろそかにすることは許されない。社内で利用できるリソースが限られているなら、ぜひ外部のセキュリティサービスをうまく活用してほしい。インテックの『EINS/SVA』は、まず選択肢に入れたい。

必要事項を入力後、ご登録のEメールアドレスへ、ダウンロード用URLをお送りいたします。

資料ダウンロードページへ

掲載内容は、2019年8月現在のものです。

CONTACT

お問い合わせ
資料請求はこちら