ホーム

ICカード化したIDカードの利便性について

2011/07/21(木)

IDカードは、例えば企業においては身分証として身につけることが義務付けられていることが多いのですが、このIDカードをICカード化することによって、身分証としてのセキュリティも向上できる上に、社員食堂の喫食記録から出勤・退社時刻の管理、身分認証が必要な区画への入室の許可などが自動でできるというメリットがあります。
クレジットカードのリボ払い地獄にハマったことがあります。2枚のクレジットカードで20数万ぐらいのリボでしたが、とにかく毎月払ってもなかなか減らないのです。毎月1万円の定額払いにしていましたが、そのうち利息は1500円前後。結局しびれを切らして、貯金を崩して残金一括払いで返済しましたが、リボ払いは安易に使うと後で痛い目にあうんだなと実感しました。
「ここ最近、著名な企業が次々と被害を受けていますが、標的型攻撃を完全に防ぐことはできません」

【拡大画像や他の画像】

そう語るのは、チェック・ポイント・ソフトウェア・テクノロジーズのテクニカルサービス部 トレーニングマネージャーの卯城大士氏だ。その理由について、同氏は次のように説明する。

「攻撃を受ける側の企業ではITを使う人のスキルはバラバラである一方、攻撃者はITスキルに長けています。ITスキルの高い複数の攻撃者が企業のウイークポイントを徹底的に探すわけです。完全ではない『人』で構成される企業には当然、穴があります。つまり、守るよりも攻めるほうが断然、強い立場にあるのです」

卯城氏はさらに、「これまでセキュリティ対策を講じる際は、安全な状態を危険にさらさないようにすることが前提でした。しかし現状では、企業・組織においてすでにボットが入り込んでいる可能性が高いです。セキュリティに対する認識を改める必要があります」と指摘する。

では、企業が標的型攻撃から身を守り、情報流出を防ぐにはどうしたらよいのだろうか?

卯城氏は、「攻撃されるリスクを最小化するために手を打つべきです。標的型攻撃に対抗する方法は流れを理解することで見えてきます」と話す。同氏は標的型攻撃のシナリオとして、以下の図を示した。

上の図で示したシナリオにおけるそれぞれの場面に対策を打っておくことで、リスクを抑えることが可能になる。もし、これから標的型攻撃について対策を打とうとしているならば、自社のネットワークとセキュリティ対策を照らし合わせてみるとよいだろう。

卯城氏によると、最近は標的型攻撃の傾向として、IPSの導入を検討する企業が増えているが、あらかじめ攻撃を受けるリスクを抑えておけば、IPSが必要となる場面は減ることになる。

加えて、標的型攻撃への対策を打つ際にチェックしておきたいのが「データ流出ポイント」だ。自社のネットワークにおいて、データが流出する可能性があるポイントを洗い出しておくというわけだ。先に挙げた攻撃の流れと同様に、各ポイントに対策を打っておくことで、データ流出のリスクを抑えることが可能になる。

卯城氏が標的型攻撃を受ける側の最大のウイークポイントとして挙げるのが「人」だ。標的型攻撃のシナリオでは、アカウントやパスワードを探り出すために、ソーシャルエンジニアリングという手法が使われる。

例えば、「緊急」「教えてください」といったフレーズが入ったメールを受け取ると、人はつい開いて返信してしまうそうだ。また、上司の名前を騙ったメールで攻撃サイトへ誘導するケースもあるなど、攻撃者は巧妙な手口で長期間にわたり攻めてくるという。

そこで、卯城氏はこれからのセキュリティ対策として、人に対する教育を強化することを勧める。「組織を考えた場合、最も弱いのは人です。だからこそ、人のセキュリティに対する意識を強化していくことが重要なのです」

さらに、セキュリティのリスクを回避する方法に「リスクの実態の可視化」がある。具体的には、ネットワークのイベントをリアルタイムで監視することで、異常が発生したら対処するというものだ。

セキュリティログを取得している企業は多いだろうが、それをリアルタイムで監視までできている企業はいくつあるだろうか。

チェック・ポイント・ソフトウェア・テクノロジーズは11月17日に、標的型攻撃をテーマとしたセキュリティセミナーを企画している。同セミナーでは、先に述べた標的型攻撃のシナリオやデータ流出ポイントに対する具体的な対策が紹介される。

「百聞は一見に如かず」だ。標的型攻撃に少しでも不安を覚える方は、ぜひ同社のセミナーに参加して、疑問点を明らかにして、有効な対策を講じていただきたい。

(今林敏子)

[マイコミジャーナル]


【関連記事】
他人事じゃない! 次々と企業・政府を狙う標的型攻撃に備えるには?
ラック元社長の三輪氏が語る! 緊急セキュリティ対策セミナーが開催
チェック・ポイント、新アプライアンス7モデルとボット防御ソフトを発表
チェック・ポイント、セキュリティアプライアンスのパワーを測る指標を発表


日本オラクルは11月8日、データベース・マシン「Oracle Exadata」がNTTドコモにデータマイニング・システムとして導入され、2011年4月より稼働を開始したと発表した。

同製品はデータウェアハウスからデータを取り込み、分析用データを整備する部分に導入された。これにより、従来は約3日間かかっていた処理が30〜40分で終了し、分析用データの公開までの期間が月次から2日後に短縮されるなど、処理の高速化が実現されたという。

また、同製品のデータ圧縮機能の活用により、ストレージ容量の約92.5パーセントを削減できたとしている。

[マイコミジャーナル]

【関連記事】
オラクルの「Oracle Service Bus」、ANAの共通連携基盤として稼働開始
日本オラクル、SPARC T4プロセッサ搭載の統合システム基盤を提供開始
Oracle、標準準拠のパブリッククラウド「Oracle Public Cloud」を発表
Oracle、「Oracle Big Data Appliance」を発表