必要なのは根本的な対策
──こうしたウイルス感染を防ぐために、企業内で従業員のセキュリティ意識を高めるべきだという議論があります。
意味がないと思います。たとえば、過去危険なWebサイトを見るべきではないという話がありましたが、Gumblarは大手企業の公式サイトを経由して感染を広げました。実際、ウイルスに感染した人にヒアリングしても、仕事に関係ないWebサイトは見ていないといいます。つまり、以前のように不要なWebサイトを見てはいけないといって、それが正しく守られてもウイルスに感染するようになったわけです。
必要なのは教育ではなくて、根本的な対策です。たとえばLinuxやMac OS Xを使うのも対策になるでしょう。実際、バージョンアップのコスト負担が大きいことに加え、セキュリティ上のリスクもふまえてWindowsからLinuxへの移行を考えている企業もあります。今では、オフィス系アプリケーションも使えますからね。
そもそもWindowsをインストールした1台のPCですべての作業に対応しようとすると、セキュリティ対策に大きなコストが発生します。それぞれの用途に応じてリスクがあり、それらすべてに対策する必要があるからです。それなら用途に応じて仮想化した環境を用意し、使い分ければよい。
今回のGumblarで言えば、Webサイトにコンテンツをアップロードするためだけの環境を用意して、それ以外の用途ではいっさい使わない。これなら、その環境がウイルスに感染する危険性は低いですし、Webサイトに不正なスクリプトが埋め込まれることもないわけです。1つの環境で何でもやろうとするからウイルスに感染して、Webサイトに不正なスクリプトが埋め込まれてしまうわけです。
パッチの適用は、もはやセキュリティ対策ではないという
──お話を伺っていると、新たなセキュリティ対策が必要なのかなと感じます。
Gumblarと喚ばれるウイルスの登場以降、クライアントのセキュリティ対策は新たな次元に進んでいます。個々人が注意してどうにかなるレベルではなくなっていますね。
以前、訓練の意味で疑似ウイルスメールを社内に送信しましたが、あからさまに怪しいメールを送信しても開封率は10~15%を超えます。さらに知人のアドレスや文体を偽装した詐欺メールになると、90~95%は開封します。現在の詐欺メールは、業務に関連する内容に偽装して送信されてきます。たとえば社内のトップに近い位置にいる人からのメールを装って送信されると、どうしても開いて見ざるを得ないわけです。
これまで、業務に関係のないWebサイトにアクセスしない、あるいは怪しいメールは開かない、添付ファイルを展開しないといったことが注意されていました。しかし現状の手口を考えると従来の対策はもはや対策にならないのに、いまだにこうしたルールがまかり通っています。
さらにもう1ついえば、パッチを当てることもセキュリティ対策ではなくなっています。ゼロデイ攻撃が行なわれれば終わりですから。そういう意味では、現代の対処法とはいえません。
気を付けましょう、努力しましょうといったグレーゾーンではなく、システム化の徹底や禁止すべきものは徹底して禁止するなど、はっきりしたルールで対策を実施していく。時代が変わったことを認識し、根本的な対策を考えていかなければなりません。
──先ほど出ていましたが、仮想化もそうした対策の1つというわけですね。
実際、私も仮想化した環境を使い分けています。Webサイトを閲覧したい、でもウイルスに感染して情報漏えいするのは困るというのであれば、情報を保存していない仮想環境で閲覧すればよい。
三輪氏の環境のデスクトップ。Linux上でVMware Workstationを動かし、その上で複数のWindowsが実行されている
たとえばOSやアプリケーションのベンダーからパッチが提供されても、業務アプリケーションの運用に支障が出るため適用しないというケースがあります。将来ウイルスに感染するリスクよりも、いまの業務を止めてしまうリスクが優先されるわけです。
しかし業務アプリケーションを利用する仮想環境を用意し、Webサイトを見たりメールを受信できないように接続先を制限するといった対策でリスクを低減しておけば、パッチを当てずに使い続けてもその脆弱性を突いて攻撃を受ける可能性を小さくできるということです。
セキュリティ対策には処方箋が必要
──ただ、ユーザーがこうした対策を考えて実施するのは難しいのではないでしょうか。また、セキュリティソリューションと呼ばれるものが市場に大量にあり、どれを使うべきなのか判断できないという声もあります。
私はセキュリティ上の効果やコスト負担がわかる、処方箋が必要だという話をしています。病院に行って薬を服用する必要がある場合には、必ず処方箋が出されますよね。さらにどういった効果があるのかといった説明も受けられる。
現状のセキュリティ対策は、どのリスクにも有効というものではありません。つまり万能薬はないわけで、どれが有効なのかを教えてくれる処方箋が必要ではないかというわけです。しかし、セキュリティ業界はこれまでこうした努力を怠り、「あれがよい、これがよい」と勧めるだけでした。こうした点は改められるべきでしょう。
──ユーザー企業がリスクや効果を理解せず、セキュリティソリューションを導入してしまうケースは少なくなかったと思います。そうした点は改善されるべきというわけですね。
本日はありがとうございました。
S&Jコンサルティング 代表取締役 三輪信雄氏
1995年より日本の情報セキュリティビジネスの先駆けとして事業を展開。日本のWindows製品に初めてセキュリティパッチを提供させた脆弱性発見者としても知られる。2009年より総務省CIO補佐官を務め、さらに公開・非公開の政府系委員を歴任する。