セキュリティ診断サービス「ほぼ」20周年特別企画「来る診断」

• 座談会参加者（各50音順）
• 座談会本文

座談会参加者（各50音順）

研究担当者

渥美 ： 

サイバー・グリッドでIoTセキュリティに関する研究を進める

小笠原 ： 

サイバー・グリッドで、セキュリティ対策やインシデント対応に関する研究を進める

診断サービス担当者

川島 ： 

標的型攻撃メール訓練「ITセキュリティ予防接種」のチームリーダー

佐宗 ： 

プラットフォーム診断のグループリーダー

篠原 ： 

業界団体で活動後、スマートフォン診断に着任したエンジニア

土屋 ： 

プラットフォーム診断一筋7年になる診断エンジニア

中西 ： 

Webアプリ診断のエンジニア

山本 ： 

スマートフォンアプリ診断のチームリーダー

営業担当者

川瀬 ： 

お客様のセキュリティに関する課題を把握する営業担当

田嶋 ： 

セキュリティ関連営業部門を束ねるマネージャ

古屋 ： 

エンタープライズ顧客のニーズに精通した営業担当

マネジメント

倉持 ： 

システム開発本部を経て、エンタープライズセキュリティサービスの部門長

山崎 ： 

入社以来セキュリティ診断を担当している、Webアプリケーションセキュリティのスペシャリスト

吉田 ： 

入社以来セキュリティ診断を担当し、現在セキュリティ診断のマネジメント

渡部 ： 

JSOCのマネジメントから転身、現在セキュリティ診断のマネジメント

座談会本文

司会 ： 

前回の座談会では、14人という参加者の多さから、文章に起こすのが大変だったのに、今回は15人で座談会とか広報泣かせな企画ですが、がんばって行きたいと思います（泣）

倉持（マネジメント） ： 

前回の「行く診断」は20周年を振り返るということで、回想も含め、割とライトな内容でした。今回の「来る診断」では、診断サービスを取り巻く脅威や技術的な変化はもちろんですが、お客様や社会的な要請の変化を踏まえ、今後の診断サービスが向う先について考えたいですね。

クラウド環境でのセキュリティ診断で変わること、変わらないこと

司会 ： 

情報システムを取り巻く環境としては、クラウド活用の進展やスマートフォンなどモバイル端末の利用、はたまたIoTといったことが真っ先に思いつきます。こうした情報システムの変化は、診断サービスにどのような影響があるのでしょうか？まずは、クラウド環境におけるセキュリティ診断についてはいかがでしょうか。

佐宗（診断サービス担当者） ： 

私はサーバやネットワーク機器などのセキュリティ診断を行うプラットフォーム診断を担当しています。AWSやAzureなどのクラウドに構築されたシステムは増えていますが、IaaSのようなクラウド環境で動いているUNIXやWindowsといったプラットフォームに対するセキュリティ診断の必要性は変わりません。

中西（診断サービス担当者） ： 

私はWebアプリケーション診断を担当していますが、Webアプリケーション診断についても同様です。クラウド環境であれオンプレミス環境であれ、Webアプリケーションのセキュリティ診断を実施し、脆弱性がない状態でサイトを公開する必要があります。

司会  ： 

オンプレミス環境であれ、クラウド環境であれ、セキュリティ診断の必要性は変わりない、ということですが、クラウド環境ならではの注意点や懸念点はあるのでしょうか？

山崎（マネジメント） ： 

クラウドの場合は、クラウド事業者にセキュリティ診断の申請が必要な点は異なりますね。この辺のことはブログでもクラウド環境で稼動するサービスの脆弱性診断として取り上げています。

佐宗（診断サービス担当者） ： 

ユーザーが手を加える箇所はすべてセキュリティ診断を行ったほうがいいと思っています。たとえば仮想化環境で使うOSイメージは、ある時点で脆弱性対応をすべてクリアしていたとしても、ソフトウェアやミドルウェア、開発要素、設定変更などの可変の要素があるので、変更した（された）箇所に関してはすべて脆弱性有無を確認する必要があります。しかし、「提供されているイメージを使っているから大丈夫だよ」というお客様もいらっしゃって、何を診断しなければならないかが切り分けられていないようです。実際はほとんどのお客様が何らかのカスタマイズをして、クラウドのインスタンスを使っているはずなのですが。

中西（診断サービス担当者） ： 

Webアプリケーションのセキュリティ診断をしていると、CMSやスクリプトのエンジン、ミドルウェアなどが原因で脆弱性が検出される場合があります。アプリケーション開発のご担当に説明しても、利用しているサービス事業者の範疇なので相談しないと直せない、などの理由で対処が進みにくいケースがあります。

渡部（マネジメント） ： 

ラックではセキュリティ監視の事業とセキュリティ診断事業を行っていますが、開発、運用、品質管理の各担当間で、だれがセキュリティ品質に対してリードしてゆくべきかが明確ではないため、全体を連動させる施策が思うように進まないもどかしさを感じることがあります。

倉持（マネジメント） ： 

Webアプリケーションのセキュリティに関する啓発ドキュメントとしてOWASPの「OWASP Top10」がありますが、この中でも「既知の脆弱性を持つコンポーネントの使用」が掲載されています。実際、既知の脆弱性を持つコンポーネントが利用され続けているWebシステムはかなりの割合を占めているようです。サーバやネットワークなどのプラットフォーム診断とWebアプリケーションの診断を組み合わせて実施し、システム全体のセキュリティについて俯瞰的に判断して行く必要がありますね。

増えてきたスマートフォンアプリケーションやIoTのセキュリティ診断、その課題は？

司会 ： 

スマートフォンやタブレットといった新しいデバイスで動作するアプリケーションのセキュリティ診断、あるいはIoT機器に対するセキュリティ診断についてはどうでしょうか？

篠原（診断サービス担当者） ： 

スマートフォンには、個人情報だけでなく、写真やメモなどの重要情報が保存されています。スマートフォンは持ち歩く端末ですので、盗難や紛失などによる機器やデータのロスという脅威はPC以上にあります。PCと同様にスマートフォンがマルウェアに感染し、マルウェアが端末の重要情報にアクセスするといった脅威への対処も考えなければなりません。OWASP Top10 Mobile Risks 2016のリリース候補について

渥美（研究担当者） ： 

これまでセキュリティ診断は、企業が利用する情報システムや、企業が提供するサービスといったもののセキュリティ品質を高めるために活用されていました。ところが、IoTでは、企業が販売する製品がインターネットでつながることになります。そうなると、IoT機器特有の、新しいサイバー攻撃の脅威が顕在化してきます。近い将来には、人命にかかわるような被害も出てくるかもしれません。

司会 ： 

人命にかかわるとなると、セキュリティ品質の確保は社会的な要請として高まりそうですが・・・

山本（診断サービス担当者） ： 

スマートフォンアプリのセキュリティ診断需要はこの一年で倍以上に伸長しています。当社では、2年前にセキュリティ診断部門内に専任チームを作り対応しています。今のところ、多くは一般消費者に向けて提供されるスマホアプリが主体です。

渥美（研究担当者） ： 

IoT機器の研究開発を行っているのはベンチャーやスタートアップのような小規模な企業が多く、予算面で非常に厳しいのが実情で、セキュリティ対策に費用を捻出するのは困難な現状もあるようです。

山本（診断サービス担当者） ： 

スマホアプリの開発においてもセキュリティ対策予算は厳しいのが実情です。しかしセキュリティ対策についての浸透度は高いのか、セキュリティ診断の活用には前向きのようです。サービスや製品の開発を行う場合に、企業のセキュリティポリシーでセキュリティ品質の確保を義務づけている企業があり、そういった会社はスマホアプリも対象のようです。

渥美（研究担当者） ： 

すべての予算を製品機能の開発に投下せず、セキュリティ品質の向上に寄与する施策にも投下してもらえればと思います。しかしセキュリティ品質というのは、どのレベルまでを担保すれば良いかも明確ではないのが現状ですから、ガイドやツール整備に加え、建築基準法のような法整備といったものが必要かもしれません。

アジャイル、DevOps開発スタイルは変わる、セキュリティ診断は変わるのか？

司会 ： 

クラウドやモバイルの利用は今後ますます進展すると思いますが、システム開発の現場からみたときにはどのような変化がおきているでしょうか？

倉持（マネジメント） ： 

クラウドやモバイルの進展の背景には、ビジネスをより機動的にしたい、というビジネス環境の変化があります。それを支える開発現場でも、アジャイルやスクラム、あるいはDevOpsと言われるような開発スタイルが浸透してきています。利用されながら製品開発を進めてゆく新しい開発スタイルにおいては、より頻繁に製品のリリースが行われています。

吉田（マネジメント） ： 

開発スタイルが変化しても、これまでのように製品やサービスのリリースに向けて、総合的なセキュリティ品質を検証するのは引き続き大切です。何をもってリリースのハードルを越えさせるかという目標設定として重要だからです。しかし、リリース直前に行ったセキュリティ診断で致命的な問題が発見されると、その修正はかなり手戻りが発生するケースがあります。

倉持（マネジメント） ： 

先ほども出てきたOWASPが、「OWASP Proactive Controls」というドキュメントを公開しています。これは、OWASP　Top10で示されるような脆弱性を作りこまないようにするために、開発者はどのように取り組むべきか？というドキュメントです。この中で安全なソフトウェアを開発するために最も大事なことは「早期に、繰り返しセキュリティを検証すること」とされています。

山崎（合いの手担当） ： 

倉持さん、OWASPの広報の人みたいですね・・・

吉田（マネジメント） ： 

Webサービスやスマホアプリのように利用されながら機能を追加し、不具合を修正するといった開発サイクルの場合、リリースのタイミングだけでセキュリティ品質の検証をするというのは、利用者保護の観点で好ましくないと思っています。開発の要所でセキュリティ品質の確認をするのは、DevOpsによる開発においても大変重要になってきます。

渡部（マネジメント） ： 

システムをリリースする最終局面だけでセキュリティ診断をするのではなく、開発の早い段階から繰り返しセキュリティ診断を行うことで、セキュリティ品質を高めていく。という考え方ですね。実際、非常に多くのシステムやサービスを提供している場合に、定常的に診断をし続ける、という形で当社の診断サービスをご利用頂いているお客様もいらっしゃいます。

倉持（マネジメント） ： 

ビジネスやシステム開発の現場はどんどんスピードアップしていくでしょうから、開発スタイルの変化に併せて診断サービスの提供形態も変化していかなければなりません。システムテストの最終局面でセキュリティ診断を行うだけでなく、より上流工程からセキュリティ品質を担保していくための支援を行っていきたいと考えています。

古屋（営業担当者） ： 

私は営業担当なので、お客様とお話をする機会が多いのですが、セキュリティ診断の自動化に関心を持っている企業は増えています。海外ではコストを下げるために、診断のスピードを高めて回転を上げる取り組みを、積極的に進めているようです。お客様自信がセキュリティ診断を定常的に行い、より高度にカスタマイズしたセキュリティ診断をラックに依頼されるような流れもありそうです。

渥美（研究担当者） ： 

米国防総省傘下の国防高等研究計画局（DARPA）が開催した機械学習システム同士のハッキング大会「サイバーグランドチャレンジ」で、相手のシステムの脆弱性を自動的に発見する取り組みがあったように、当然このような流れは出てくるでしょう。もちろんこれらコンテストがすぐにマーケットに影響を与えることは無いと思いますが、明らかに機械学習を加速させる動きだと思います。

プロアクティブなセキュリティ診断を目指して

司会 ： 

開発スタイルの変化の話から機械学習に行き着きましたが、これからの診断で期待される要素って何かありますか？

小笠原（研究担当者） ： 

私は脅威分析を専門にしていますが、企業内に侵入を許した事案の多くは、権限管理、設定管理の問題を突かれています。プラットフォームやソフトウェアといった製品技術面からセキュリティホールを探し出す手法と共に、脆弱なセキュリティホールがあると仮定して、サイバー攻撃を受けたらそれを防げるか、攻撃された痕跡を手に入れられるか、といった部分を把握できるセキュリティ診断が求められるかもしれません。

佐宗（診断サービス担当者） ： 

これまでの多くの診断は、ブラックボックス検査といって外から見える部分から診断を行ってきました。これに対して、管理者に成り代わって現在の認証設定などの情報を抽出し、設定不備などを洗い出して報告するホワイトボックス検査に当たるのが「認証スキャン」というサービスです。認証スキャンでは、レジストリの内容やハードニングに必要な設定項目を診断できるので、より効果的なセキュリティ診断が可能です。これは小笠原さんのお考えに近いかもしれません。

川島（診断サービス担当者） ： 

ITセキュリティ予防接種でも、事故対応訓練の効果を求める企業が増えてきています。疑似標的型攻撃メールを受信した人がそのメールによってマルウェアに感染する人の割合を知る、というニーズから、疑似標的型攻撃メールを受信した方が、その後適切な対応としてCSIRTにエスカレーションできたかとか、周囲の人に相談したかといった行動を評価するようなニーズが増えてきました。そして、実際に不正なメールから疑似マルウェアに感染してしまったら、攻撃者はその後どこまでに被害を広げられるのかを知りたいというニーズも増加しています。

司会 ： 

セキュリティ対策の中でも防御箇所を探すためのセキュリティ診断から、被害発生を防げなかった際の被害の実態を知るためのセキュリティ診断という考え方も出てきたということですね。

倉持（マネジメント） ： 

前から話にあったけれど、ITセキュリティ予防接種とAPT攻撃耐性診断サービス「APT先制攻撃」をつなげると、標的型攻撃メールから侵入後の被害予測まで把握することができるってことですね。それから、今のITセキュリティ予防接種は、何百人に一斉にメールを送り、実施する時期もある程度予測できるようにして実施していますが、たとえば少数に対して、いつ疑似標的型攻撃メールを送るかを伝えずに実施する「抜き打ち診断」のようなサービスも提供してみたいと思っています。

小笠原（研究担当者） ： 

こういう環境だったらこういう被害につながりますよ、とはっきり報告するとお客様は逆にホッとされるようです。問題点が明確になり、得体の知れない不安がなくなるようですね。

ビジネスに貢献するセキュリティサービスの提供を目指して

司会 ： 

ここまで、クラウドやモバイルの進展など、企業の情報システムを取り巻く環境の変化の話から、プロアクティブなセキュリティ診断の活用などに進んできました。「行く診断」で振り返ったとおり、この20年でセキュリティ対策を取り巻く環境は変化してきています。診断だけでなくJSOCやコンサルを始めたとしたセキュリティサービスを提供する会社としての意気込みをお聞かせください。

吉田（マネジメント） ： 

これまでのセキュリティ診断は、システム毎にそれぞれのご担当者から実施依頼が来ていましたが、徐々に会社や組織単位でのセキュリティ診断が増えてきました。会社全体のシステムのセキュリティ品質の「見える化」や脆弱性管理といった要望が増えてきているのです。セキュリティ診断サービスとしてはこれまでのように単に脆弱性を指摘するだけではなく、リスク管理の一環としてお客様に貢献していかなければならないと思っています。

田嶋（営業担当者） ： 

おかげさまで、ラックの診断は、ものすごくリピート率が高いんです。対応力や技術力などをご評価していただいていると思うのですが、今後必要なのはよりお客様に近づくことかな、と思ってます。各個別のシステムの診断に対応するだけではなく、お客様の「クセ」のようなものを押さえて、先ほどからお話が出ている「被害発生を前提としたペネトレーション診断」や、そこから啓発教育、CSIRT構築・運用支援など、お客様が企業を守るために必要な取り組みを、まとめて提供できることが重要だと考えています。

倉持（マネジメント） ： 

セキュリティ診断は、急速に需要が高まっていることは間違いありませんが、まだまだ啓発を続けていかなければならない分野です。しかし、ハイエンドな企業はセキュリティ診断の先のサービスを期待しているというのもあり、広く深くビジネスを展開しなければならないということが分かりました。ここからは、次の20年間のサービスを意識して、われわれ自身のスキルアップと機械学習を含めた新技術の採用、そして何よりお客様と日本を守るという強い思いを胸に、がんばってゆきたいですね。

司会 ： 

まさにセキュリティ診断の繁忙期に行われた座談会でしたが、開発手法、機械学習、他のサービスとの連携の重要性などが理解できました。昨年末に公開した「行く診断」で語られた、ラックのセキュリティ事業の基点はセキュリティ診断という言葉。セキュリティ対策の基点も、現状がどうかを知ることから始まるのかもしれません。皆様、年度末の忙しい時期ですが、体に気をつけてお客様のセキュリティ対策を支援してください！

セキュリティ診断サービスはこちら