Skip to content

セキュリティマガジン TREND PARK

法人をターゲットにした攻撃事例とは

川本氏法人のスマートデバイスをターゲットにした標的型攻撃などは発生しているのでしょうか?

小屋スマートデバイスに関しては、攻撃プログラム自体は二年ほど前から発見しており、今後、これらが使われる可能性があります。また、海外では攻撃事例が報告されています。インターネットには国境はないので、当然のことながら日本も攻撃対象となってきます。PC上での攻撃では、既に日本語に対応したツールやテンプレートも出ていますし、日本人が加担していると思われるケースも多々あるため、スマートデバイスにおいてもPC同様に標的型攻撃の脅威があります。

川本氏実際の攻撃手法はどのように行われているのでしょうか?

小屋最近は「水飲み場攻撃」といって、例えば、バッテリーに興味のある方を対象に標的型攻撃を仕掛けたいので、まずバッテリーの情報がアカデミックに解説されたサイトを乗っ取り、エクスプロイトコードを埋め込んで、サイトへアクセスした人の情報を盗む手法があります。現在のところ、PC向けの攻撃がほとんどですが、今後はスマートデバイスを狙ってくる事も推測されます。

川本氏PC中心の攻撃が多いとのことですが、スマートデバイスへの攻撃はどうでしょうか?

小屋攻撃の総量としては、引き続きPC向けが多いです。攻撃者としては、目的を達するためにどのようなルートが安いコストで目的を達成する成功率が高いかを考える。国内においては、スマートデバイスだけで仕事をしている企業は少ないかと思われるので、一般的にはWindows OS,Windowsアプリケーション、ミドルウェアの脆弱性を狙った攻撃が圧倒的に多いですね。

川本氏Windows向けの攻撃がベースにあり、それらが現在の攻撃の量になっている訳ですね。攻撃手法のテンプレート化や攻撃スキル習得等の効率化が図れた場合には、スマートデバイス向けの攻撃が増えてくる可能性もありますね。

小屋当然あります。攻撃対象はインターネットに繋がっている業務関連時間の総量によると思います。

何か起きてからでは遅い。会社、社員を守るためのセキュリティ対策

川本氏現在、KDDIはスマートデバイスのセキュリティ対策として、MDMサービス「KDDI Smart Mobile Safety Manager」を提供しています。PCにウイルス対策が必要なように、スマートデバイスにMDMは必要不可欠と考えていますが、導入率は100%とはいかない状況です。
2年前と比較しMDMの導入は急増しているものの、スマートデバイスへのセキュリティ対策状況はまだまだ低いと感じています。その点はどのように感じていらっしゃいますか?

小屋まったく同感ですね。業務に使うデバイスとして、企業が社員の使うスマートデバイスをコントロールしようという意識が薄いと思います。「スマートデバイスを会社の機密情報が載る重要なインフラとして捉えているか」という観点が経営者やIT管理者に無ければ、会社はルールを定めるだけで、個人にセキュリティ対策を任せてしまっている状態になります。デバイスのコントロールを放棄している場合、何か問題が起きた時に「社員の責任なのか、会社の責任なのか」という問題が必ず出てきます。それを事前に対策するのが経営者の役目であり、会社のため、社員のためとなる。社員を守るという点でも、しっかり対応するという事が毅然とした会社の対応です。

川本氏お客さまによってはMDMは導入したが実際の活用までに至らないケースも多く見られます。スマートデバイスにMDM設定が入っていることで安心し、MDM運用までは行っていない方もいらっしゃいます。

小屋中小企業の場合、何かが起きてしまったらリソースも限られていることが多いため、大騒ぎになり得ます。元請けの情報が漏えいしてしまったら会社の経営を左右しかねない。周りが事故を起こしてからでは遅い、リスクがあるのであれば、事前に対策する意識を持っていただきたいし、IT管理者は常に現在の脅威について知っておく必要があります。

川本氏サービスの導入だけでなく運用も重要ですね。当社はスマートデバイスとMDMによるセキュリティ機能の提供だけでなく、お客さまのスマートデバイスの運用作業を請け負うことや、中小企業の方にはMDMと運用作業をパックにした「KDDI デバイスマネジメントパック」も提供していますので、お客さまの運用負担を軽減することも可能です。

川本氏これからの企業のセキュリティへの取組みとして、どうなっていくべきと考えていますか?

小屋日本はアウトソースビジネスが成り立っているので、その分野のプロに任せるというのがいいと考えています。大企業ならば自社の運用も可能ですが、中小企業は専任の人材を確保することは難しい場合もあります。日本と欧米とのIT人材の比率を見るとわかりますが、欧米のエンドユーザ企業におけるIT人材が約7割なのに対し、日本はエンドユーザ内に約3割、SIer含め外部に約7割いるという現状です(※2)。日本ではSIerなど外部の人材がネットワークから業務アプリケーションまでを提供することでITシステムが成り立っている。一概にどちらがいいというわけではないが、エンドユーザだけを切り出してみれば、IT知識は欧米より低いという結果になります。

全ての業務をアウトソースするのでは元請けの責任がなくなってしまうので、外部委託先は正確なデータと世の中的に考えられる閾値で明らかにおかしいことは元請けに伝え、最終的な判断は元請けが行うなど、それぞれの責任を明確にすることが重要だと思います。

川本氏セキュリティ対策ならばトレンドマイクロ、スマートデバイスと運用ならばKDDIといったプロに任せることでお客さまは自身の事業活動に注力することができますね。お客さまのビジネススピードを加速させるために、今後も企業の安心、安全を実現するサービスを提供できればと思います。
本日はスマートデバイスのセキュリティ対策に関する貴重なお話をいただき、ありがとうございました。

KDDI株式会社 クラウドサービス企画開発部 川本 孝明氏

MDMサービス企画のリーダーとして、「KDDI Smart Mobile Safety Manager」をはじめとしたモバイル環境におけるセキュリティ管理サービスを担当。KDDI Cloud Blogにて、スマートデバイスを安心・安全に利用するための方法や、デバイス管理の市場動向を紹介中。

KDDI Cloud Blog
http://cloudblog.kddi.com
  • ※1 トレンドマイクロ調べ
  • ※2 出典 IPA グローバル化を支えるIT人材の確保、育成施策に関する調査 2011年3月
  • 各社の社名、製品名およびサービスは、各社の商標または登録商標です。

モバイル 記事一覧へ戻る

記事公開日 : 2015.02.18

ページの先頭へ