Skip to Main Content | Skip to Footer

Cisco Systems, Inc. ®

日本が狙われている!
Web 攻撃の裏で起きている真実と対策セミナー Review

シスコ、ラック社共催 日本が狙われている! Web 攻撃の裏で起きている真実と対策セミナー Review

VOD へのリンクはこちら

ますます深刻化する Web 攻撃
効率的かつ効果的な対応策とは


近年、日本の企業サイトをターゲットにした SQL インジェクション攻撃が急増している。そこで、シスコでは、ラック社とともに「日本が狙われている!
Web 攻撃の裏で起きている真実と対策セミナー」を共催。実際に大規模な情報漏えい事件を経験したサウンドハウスの中島尚彦氏を基調講演の講師に迎え、シスコとラック社が提供する最新ソリューションやサービスなどを紹介した。ここでは当日の各講演の概要を報告する。

株式会社サウンドハウス 代表取締役社長 中島尚彦氏


SQLインジェクション攻撃により顧客情報が大量流出


「報告されているサイバー攻撃は氷山の一角にすぎない」、音響機器販売大手のサウンドハウスの中島尚彦氏は講演の冒頭でこのように述べ、警鐘を鳴らした。
同社の主力販路はネット販売。5 年前のネット販売比率は全体の 20 %程度だったが、現在では 75 %以上に拡大している。そうした中、同社では、今年 3 月 11 日から 11 日間、不正アクセスによる集中攻撃を受け、個人情報が流出。
大きな被害をこうむった。
攻撃手法は、SQL インジェクションで悪性プログラムを仕組み、バックドアから情報を盗み出すという巧妙なもの。流出したデータは推定で最大 9 万 7500 件。そのうちクレジットカード情報を含むものが 2 万 7000 件以上あったという。
現在、同社はラックの協力のもと原因を究明し、多様なリスクに対して万全の体制を整えようとしている。

攻撃に備えた実戦配備に加え関係機関の協調・連携が不可欠


概念図

※ 画像をクリックすると、大きく表示されます。popup_icon

今回の事件は貴重な教訓を残してくれたと中島氏は言う。「セキュリティに関して人任せ、他社任せは禁物。自社が責任を持ち、臨戦態勢にあるという危機感を新たにすることが重要」と訴える。
それにはファイアウォールや IPS、IDS などを“実戦配備”し、24 時間の監視体制を構築するのはもちろん、定期的にシステム内をチェックし、不正プログラムの排除を徹底すべきだと述べる。
また、自社内で高いセキュリティ技術やスキルを有する人材育成にも力を入れる必要がある。「その上で万が一に備えた対策チームを編成しておき、被害が露見した場合は一刻も早く情報公開することが大切」と中島氏は力を込める。
さらに、エンドユーザーへの啓蒙も欠かせない。例えば、生年月日をパスワードにしない、銀行のキャッシュカードとクレジットカードの暗証番号は同じにしないなど、ユーザー側もリスクを想定した対策が必要になる。
加えて、カード会社は被害の実態を自主的かつタイムリーに告知することが大事。行政も国際的なセキュリティ基準「PCI-DSS」などに合致したセキュリティのガイドライン策定、具体的な支援プランの提示などに取り組む必要がある。
中島氏は「そうすることで企業やエンドユーザーだけでなく、行政ともタイアップして、より優れたセキュリティ対策の普及に貢献できるはずです」と強調する。
いずれにしても、これからはステークホルダー全員が危機意識を持って、ともに脅威に立ち向かっていく姿勢が大切となる。「それがサイバー犯罪を防ぎ、社会の安全確保につながると確信しています」と中島氏は、最後に語った。

Return to Top

株式会社ラック 取締役 執行役員 西本逸郎氏


攻撃の実態把握に有効なログ解析ツールを無償で提供


概念図

※ 画像をクリックすると、大きく表示されます。popup_icon

SQL インジェクションをはじめとする Web 攻撃はますます巧妙化しており、その対策は喫緊の課題だ。特に検索エンジンでヒットしやすくなるよう、SEO 対策を行っているサイトや会員データ、クレジットカード番号など個人情報を保持している企業はターゲットにされやすい。
しかし、具体的な対策を講じている企業は決して多くない。ラックの西本逸郎氏は「効果的な対策を講じるには、まず攻撃の実態を把握することが重要」と指摘する。
それに対し、ラックでは独自開発した Web サーバーのログ解析ツール「SecureSite Checker Free(セキュアサイト・チェッカー・フリー)」を無償で提供している。最新バージョンでは解析対象サーバーに Apache を追加。近年拡大している SQL インジェクションの検出も可能になった。「多様なプラットフォーム上での攻撃の痕跡を検知できるため、Web アプリケーションの脆弱性を把握する上で有効です。その上で、国際的なセキュリティ基準『PCI-DSS(詳細はシスコ講演にて紹介)』などにのっとって、具体的な対策を進めていくといいでしょう」と西本氏は提案する。

リスクに対する“想定と仕掛け”を考慮して、戦略的な対策を急げ


概念図

※ 画像をクリックすると、大きく表示されます。popup_icon

対策を進める際には、社会的責任があるという自覚のもと、戦略的な視点を持たなければならない。西本氏は「はっきりしたビジョンを描き、被害が発生したらどう対応するのかというリスクに対する“想定と仕掛け”が大切なのです」と訴える。
具体的には高度なセキュリティ機器の配備に加え、その効果を最大化すべく適切な運用管理を実施する必要がある。
そこでラックでは情報セキュリティ監視センター「JSOC」において 24 時間 365 日、ログ分析の専門家(セキュリティアナリスト)によるセキュリティ監視、報告、アドバイスなどを行う「JSOC セキュリティ監視サービス(MSS)」を提供している。さらに 2006 年 9 月からはシスコの認定を受け、サービスメニューを拡充。ファイアウォール、VPN、IPS、コンテンツセキュリティなどの機能を集約した適応型セキュリティ・アプライアンス「Cisco ASA 5500 シリーズ」に対応したセキュリティ監視/ 運用管理サービス「UTM 24+」を提供している。
UTM 24+ は堅牢かつ信頼性の高い ASA 5500 シリーズの導入企業を対象に、その運用管理と専用に開発されたシステムによる常時セキュリティ監視を一括提供するサービス。「こうしたサービスを利用すれば、企業は省力化を図りながら、最適なコストで高まるセキュリティリスクを効果的に低減することができます」と西本氏はシスコ製品と同社のソリューションの強みを強調した。



Return to Top

シスコシステムズ合同会社 シニアプロダクトマネージャー 中西一博氏/シスコシステムズ合同会社 シニアシステムエンジニア 木村滋氏


セキュアな SDN の有効性を訴え PCI-DSS の取り組みをサポート


概念図

※ 画像をクリックすると、大きく表示されます。popup_icon

クレジットカード番号や取引情報の不正入手を目的とした攻撃が増大する中、その保護を目指したセキュリティ基準「PCI-DSS」への期待が高まっている。
PCI-DSS は、国際クレジットカードブランドが共同で策定した、ネットワークなどの処理システムや情報管理に関するセキュリティ要件のこと。米国ではクレジットカード加盟店に対し、罰則なども設け、PCIDSS の順守を進めている。しかし、日本では PCI-DSS について、加盟店の認知や導入メリットについて理解が十分に進んでいないのが現状だ。「今後は政府や業界団体が中心となって、PCI-DSS の認知やガイドラインの理解・徹底を図っていくべきでしょう」とシスコの中西一博氏は述べる。
そうした中、シスコではコンプライアンスへの準拠、情報漏えい防止、マルウェア対策など全方位的なセキュリティ要件に対応した自己防衛型ネットワーク(SDN)を提唱し、PCI-DSS への取り組みをサポート。米国大手流通企業への提案実績に基づいた導入ガイドをシスコの Web 上で無償提供している。


セキュリティは“運用”重視で段階的に進化を図ることが重要


具体的には、Web サイトを攻撃から保護するソリューションとして、従来、企業が採用していたファイアウォールに加え、侵入検知・防御システム「Cisco IDS/IPS」を効果的に利用することをシスコは提案。これは、ラック社との協業により、現在起こっている Web アタックのトレンドを的確に捉えたカスタムシグネチャの提供を実現するソリューション。既存の IPS ベンダの提供するシグネチャでは対応できない巧妙な攻撃も的確に捕らえることが可能となる。
また、シスコでは、PCI-DSS にも指摘のあるWebアプリケーション・ファイアウォールとして、「Cisco ACE Web Application Firewall」の提供を開始する。
「Cisco ACE Web Application Firewall は、ファイアウォール機能を従来の HTML ベースの Web アプリケーションだけでなく、XML に対応した最新の Web アプリケーションにまで拡張。クレジットカードデータの保存や処理を安全かつ確実に実行できるのが特徴です」とシスコの木村滋氏はそのメリットを語る。
「しかし、システム導入がゴールではありません」と中西氏は釘を刺す。安全かつ高品質なサービス提供、企業価値の向上を実現するには、戦略的に SDN を強化し、ラックが提供するリアルタイムなセキュリティ監視/運用管理サービスなどを組み合わせ、活用した対策が欠かせないのである。

概念図

※ 画像をクリックすると、大きく表示されます。popup_icon


Return to Top
「Webアプリ攻撃に対抗するネットワークセキュリティ製品/サービスのご紹介」
Cisco ACE Web Application Firewall/ACE XML Gateway

Cisco ACE Web Application Firewall/ACE XML Gateway

データセンターの Web アプリケーションや Web サービスの包括的なセキュリティを実現


Cisco ACE Web Application Firewall (WAF)/ACE XML Gateway(AXG)は、ACE ファミリーの製品として、データセンターの Web アプリケーションや Web サービスに対するセキュリティを実現するための製品です。ACE WAF と AXG の機能は同一のハードウェアプラットフォーム上でライセンスによって提供されるため、ACE WAF から AXG へアップグレードすることが可能です。AXG へアップグレードすることで、XML (Extensible Markup Language)ベースのソフトウェアアプリケーションに対応した、堅牢な XML パフォーマンス強化ツールと管理ツールのセットを使用することができるようになります。

Cisco ASA 5500 シリーズ対応「UTM 24+」運用・管理サービス

Cisco ASA 5500 シリーズ対応「UTM 24+」運用・管理サービス

企業のネットワークセキュリティ強化をリーズナブルなコストで実現!
運用、管理もすべてお任せの次世代セキュリティアウトソーシングサービス


「UTM 24+」は、ASA 5500 シリーズの機能を最大限引き出すサービスです。
複合的な脅威に対応する統合アプライアンス製品の ASA 5500 シリーズに、「FW セキュリティ監視サービス」「FW 運用管理サービス」「IPS 運用管理サービス」「セキュリティ関連情報提供サービス」を提供し、巧妙化するウィルスやスパイウェアへ、さらに強力な防衛力で対抗します。余計なコストをかけずに、充実したセキュリティ環境を 24 時間 365 日実現するため、Cisco 製品を最大限に活かす運用管理サービスです。

「PCI-DSS に準拠した最新製品群で効果的かつ多層的な防御を実現」(シスコ講演)

movie VOD へのリンクはこちら >

本シスコ講演でご紹介したサービスは、以下のパートナー企業により提供されています。


■ 株式会社ラック

JSOC マネージド・セキュリティ・サービス(MSS) popup_icon

ファイアウォール、IDS/IPS 機器を、高度な技術力と豊富な経験を持つセキュリティアナリストが、24 時間 365 日総合的にセキュリティ監視 & 運用管理を行います。ASA5500、PIX Firewall、Catalyst 6500、IPS 4200、Secure IDS の機能を 100% 以上引き出し、最高峰の安全を提供します。

お問い合わせ

シスコ コンタクトセンター

Tel: 0120-092-255 (フリーコール、携帯・PHS 含む)
電話受付時間 : 平日 10:00〜12:00、13:00〜17:00

お問い合わせ >
© 1992-2009 Cisco Systems, Inc. All rights reserved.
ご利用条件 | プライバシー | クッキーポリシー | 商標