HITACHI_Solutions2

セキュリティ対策は急を要する ~第4回スマートフォン&モバイルEXPO 春~

  • このエントリーをはてなブックマークに追加

by [2014年5月22日]

京セラのブース
「診断・治療・観察」の3原則を掲げ、各社製品を組み合わせて利用することで最適な不正アクセス防止策を実現するサービスを提供する。

東京ビックサイトで5月14日から16日まで開催された「2014 Japan IT Week 春 ビッグサイト」はIT関連の各社展示を集大成した一大イベントで、各ジャンルごとに「○○EXPO」という形でそのジャンル名を冠したサブイベント名を名乗っています。

その中の一つとして「第4回スマートフォン&モバイルEXPO 春」、つまりその名の通りスマートフォンを取り巻くモバイル技術を取り扱う各種企業群の出展を集めたサブイベントが開催されました。

今回は、この「第4回スマートフォン&モバイルEXPO 春」(および他のサブイベントの一部)の中から特にセキュリティ関連技術を展示していた企業ブースと,その展示内容についてご紹介したいと思います。

切迫感の漂うセキュリティ分野

今回の展示で特に目に付いたのが、「今正にそこにある危機」としてのネットワーク上での不正行為に対する危機感や対策の切迫感の強さです。

もちろん、これまでも特にアンチウィルス系のセキュリティソフトメーカーを中心に、こうした問題が取り組まれてきたわけですが、今回の各社展示に漂う緊迫感はこれまで見たことがないような強さとなっていました。

これは企業防衛、あるいは企業内の情報管理について、各社員の扱うパソコンやタブレットなどの端末からの情報流出が最近特に深刻な問題として認識されるようになっていることや、「サイトを閲覧しただけで危険なウィルスに感染させられる」といった、利用者側では対策を講じるのが難しい問題が発生するようになったためです。

さらに、こうした問題に対処するにはネットワーク上の各レベル・各部分で利用アプリ・サービス・OSなどに合わせてそれぞれ個別に必要な対策を講じる必要があり、そのため関連技術を持つ各社は文字通り総力を挙げて問題の解決策となるソリューションの開発に邁進せざるを得なくなっているのです。

もっとも、これは言い換えれば関係各社にとっては大きなビジネスチャンスでもあります。

特に大企業ほどこうした対策は一元的かつ統合的に、しかも徹底的に管理・実行せねば簡単に機密情報が漏洩してしまいますから、この種のセキュリティソリューションを提供するメーカーにとっては、大商いのチャンスとなるわけです。

そのため、今回の「第4回スマートフォン&モバイルEXPO 春」では、右を向いても左を向いてもセキュリティ問題が前面に押し出された展示だらけ、という状況となったのでありました。

ここではそんなセキュリティ分野の各社の展示の中から注目を集めたものをいくつかご紹介するとしましょう。

アンチウィルスメーカーの強み

トレンドマイクロのブース
人目を引く一等地に大きなブースを展開しており、またその展示も充実していた。

今回の展示でひときわ目立ったものの一つに、「ウィルスバスター」シリーズで著名なトレンドマイクロのブースがありました。

同社の場合、元々パソコン向けのアンチウィルスソフト開発の有力メーカーの一つであり、端末にインストールされて水際でウィルスやクラッキングなどの悪意ある攻撃を防御するソフトウェア開発に注力してきたわけですが、今回の展示では「クラウドと仮想化環境のセキュリティ」、「サイバー攻撃対策」、それに「多様な環境におけるユーザ保護」の3つが主要な柱として展示が構成され、単純な端末側での水際防御だけでは済まなくなっている現状が明確に示されていました。

特にAndroid搭載スマートフォンの場合、Googleのアプリ審査をかいくぐって不正な動作をするアプリが流通し、さらにそうしたアプリ(マルウェア)を例えばLineなどのコミュニケーションツール経由で不特定多数の利用者に送りつけ、あるいはメッセージで不正アプリインストールを誘導するような悪意ある何者かが多数存在する状況となっていることから、企業などでは業務上必要なネットワークアクセスを止めずに情報漏洩を防止あるいは抑止するのが非常に難しくなってきています。

その一つの解決策として提示されているのが、法人向けモバイル機器用ソリューションである「Trend Micro Mobile Security」です。

これは、個人向けに販売されている「ウイルスバスター モバイル」と同様、各端末にインストールされるアンチウィルスソフトを基本としているのですが、各法人の管理を担当する部署、例えば総務などが一括してこのアプリをインストールした各端末の状態を把握・管理できるような機能が付与されています。

これにより、各端末の搭載OSやインストールされているアプリのバージョン管理(※例えば古いバージョンのまま更新されていない場合には更新を促すメールを当該端末に送信する機能が用意されています)、アプリのインストール・特定のWebサイトアクセス・動画/音楽再生・果ては端末に搭載のWi-FiやBluetoothそれに外部メモリカードといった各デバイス利用などの禁止/許可設定、さらには端末盗難時の位置情報検出や動作の遠隔ロックなど、およそ企業サイドが「何か起きた」時に遠隔操作で情報漏洩を阻止したい場合や、日常からそれを抑止するために必要と考えるような各種リモートアクセス機能が満載されています。

会場でお話を伺った担当者の方によれば、この機能については「こんな機能も欲しい」「これはできないか」という納入先各法人からの強い要望でどんどんサポートされる機能が増え続けているそうで、実際にデモ機での動作状況を見せていただいても「こんな機能までロックするのか」と驚くような細かい部分まで、微に入り細に入り設定可能となっています。

しかもプロファイル設定により例えば部署ごとに許可内容を細かく変えて設定することも可能となっています。

言われてみれば、例えば一律に動画再生を禁止してしまうと営業担当の使うマシンでは非常に困ったことになりますし、多くのデータを扱う部署でメモリカードの読み書きが禁止されるのも困りものですから、当然と言えば当然の話なのですが、このあたりの対策はある意味非常に受動的な、「何か起きた」あるいは「何かが起きそう」な状況に対する水際防御を、それも各使用環境に合わせて自動で最適化して行うのがいかに難しいかを物語っていると言えます。

Androidへの対応が目立った常駐型アンチウィルスソフト

トレンドマイクロの展示が目立っていたのですが、他のアンチウィルス系セキュリティソフトメーカー各社のブースを見ると各社ともAndroidへの対応と、後述するクラウド・仮想化環境の保護が訴求される状況が鮮明となっています。

日本ではキヤノンITソリューションズが取り扱っている「ESET セキュリティソフトウェア」シリーズにしろ、カスペルスキーの「カスペルスキー インターネット セキュリティ」シリーズにしろ、主要な常駐型アンチウィルス系セキュリティソフトがほぼ例外なくWindows・Mac OS X・Androidの3系統のOSへの対応を謳っており、Androidの市場がアンチウィルス系セキュリティソフトメーカーにとって無視できない状況となっています。

キヤノンITソリューションズのブース
「ESET」シリーズの展示に人だかりができていた。

カスペルスキーのブース
どちらかと言えばPC寄りのセキュリティソリューションを提供する企業だがAndroidへの対応を行っており、仮想化環境やクラウドの保護も謳う。

もっとも、同名あるいは同一シリーズ名を冠してアプリが提供されていますが、各社ともほぼ例外なくWindowsやMac OS X向けとは大きく異なる機能サポートを謳っており、OSとしてのAndroidの抱えるセキュリティ問題が他とは異なる状況にあることを示しています。

なお、「ESET セキュリティソフトウェア」では対応各OSごとに専用ライセンスとするのではなく、1ライセンスごとにいずれかのOS環境に自由にインストールして利用可能な形でライセンスが提供されていて、例えば法人向けの場合、400ライセンスを導入してWindowsマシンに120ライセンス、Mac OS Xマシンに90ライセンス、Androidマシンに190ライセンス、といった形でそのインストール先OSの比率を自由に変えられるようになっています。これはタブレットなどでAndroid搭載マシンの急増している現状を考えれば合理的な対応と言えるでしょう。

クラウドサービスのセキュリティ対策

最近はあのMicrosoftでさえOffice 365として月額課金+クラウドサービスを開始するほどに、クラウドサービスが本格的に浸透しつつあります。

このクラウドサービス、特にメールサービスはGoogle Appsでもそうですが、スマートフォンでもタブレットでもネット接続さえ出来れば自由に利用可能なメリットがある反面、法人利用を考えるとメールの誤送信防止などで自由度が低く、送信の一時保留や同一社内でメールのやりとりを行った場合に特定プランでないとメールがアーカイブできない、など少なくとも現行バージョンでは各法人が自社でメールサーバを立てて運用する場合と比較して設定の自由度が低い、といった難点がいくつかあります。

実際、企業内などではある特定の時間に指定して社員に同時にメール送信を行いたいケースが結構ありますし、ある部署で社外に発信されるメールをその部署の上長が必ず確認するようにしたい、あるいは機密保持のため添付データで特定のファイル形式のものを送信拒否するようにしたい、といったニーズは機密保持に神経質にならざるを得ない昨今の情勢で考えると、当然にありうる話です。

トランスウェアのブース
新しいコンセプトのセキュリティソリューションを展開しているためか、いわゆる萌え系のイメージキャラクターを用いたイメージ戦略が採られている。

今回トランスウェアが展示していた「Active! gate SS」および「Acteive! vault SS」というサービスはこうした問題を解決するために提供されているソリューションです。

このサービスはOffice 365やGoogle Appsでクラウドによるメールサービスを利用する場合に、その通信経路上にフィルターあるいはファイアウォールとして「Active! gate SS」のサービスを挿入し、それとは別にメールアーカイブのために「Acteive! vault SS」のサービスをOffice 365やGoogle Appsに付加させるような構成を採っています。

こうすることで、各ユーザーの端末側では特に何を設定する必要もインストールする必要も無くセキュリティ機能の付加や使い勝手の向上が図られるわけです。

端末に情報を残さない技術

今回の展示で印象的だったものの一つに、仮想化、つまり各マシン上に仮想的なマシンを構築し、その上で各種ソフトウェアを動作させる技術の応用があります。

この仮想化は元々サーバマシンで1台のマシンのハードウェア資源を効率よく利用・保守管理するために、仮想的なサーバマシンをその内部に複数構築し同時実行させるための技術として発達したものです。

これを応用することで、例えば社内の情報にアクセスするときだけ仮想マシンを端末内に一時的に構築し、その上で専用アプリを実行させるなどしてアクセスを行い、作業が終了したら仮想マシンそのものを消去してしまう、といった形で情報を端末側に一切残さずに必要な作業を行えるようになるのです。

つまり、仮にマルウェアなどが端末に感染しても一切手出しできない、隔離された環境内でのみ情報を取り扱えるようにすることで、安全にアクセスできるようになるわけです。

CACHATTOのブース
スマートフォンなどの私物端末をいかに安全に取り込んで利用可能とするか。これもまた最近の重要トレンドの一つである。

この仮想化に限らず、今回の展示では端末側に情報を持たせない・残さないための技術をアッピールしたケースが少なくなく、法人での情報漏洩の深刻さを物語っています。

もっともこれには別の側面もあって、私物端末を勤務中に使用するケースが増えていることも、端末側に情報を持たせられない・残すわけに行かない理由となっています。

例えば企業が一括購入し、各社員に支給する端末だけを使用している分には、紛失時のリモートロックなどの対策を中心とする管理策を講じることで一定の効果が期待できますが、各個人が私的に所有する端末がそうした管理の外で勤務中に使用されると、それだけで情報漏洩の危険性が跳ね上がることになります。そのため、そもそも端末側に情報を持たせない・残さない形で社内情報にアクセスするための仕組みが必要になってくるわけです。

緊急性の高まっているサーバ側でのセキュリティ対策

日立ソリューションズのブース
ネットワークインフラのソリューションを提供する企業だが、不正アクセス対策と並んでスマートデバイスの取り扱いに重点を置いた展示を行っており、インフラ側でもスマートフォンやタブレットへの対応が重要となっていることを示す。

銀行などのサイトでの改ざん問題やOpenSSLのHeartbleed問題が物語るように、最近のセキュリティ対策では各端末ごとの水際防御もさることながら、サーバ側での不正アクセスに対する防御が特に深刻な問題となっています。

そうした状況を反映して、「第4回スマートフォン&モバイルEXPO 春」ではルーターなどのハードウェアを扱うメーカーも、サーバ上で動作するサービスなどを提供するメーカーも、揃って不正アクセス対策を強く訴える展示が目立ちました。

不正アクセスでは「DDoS(Distributed Denial of Service)攻撃」と呼ばれる、多数の端末に感染させたアプリが同時かつ短時間の間にある特定のサーバに対してパケットを大量送信(=攻撃)し、サーバの処理能力を飽和させることで異常動作やサーバそのものの不正プログラム感染を引き起こさせる、あるいはWebサイトの改ざんを行う、といった手法が常套的に用いられます。

上流となるサーバ側のWebサービスそのものが改ざんされ、またそこで悪意あるソフト(※マルウェアなど)が配信された場合、多くの利用者はその改ざんをあらかじめ察知するのは不可能に近く、防御は非常に困難となります。

そのため、サーバ側で用いられるOSやアプリについてはこうした飽和攻撃によってシステムの脆弱性を突かれることがないように穴が発見される度に修正が加えられ続けているわけですが、穴、つまり脆弱性を完全に排除するのは困難ですから、脆弱性があってもなお安全な動作を得るためのソリューション、そうした脆弱性を検出するためのソリューション、あるいは脆弱性そのものに対する攻撃を防御するためのハードウェア的な対抗手段などには十分な商機があるのです。

実際、会場を見渡すとこうした問題に対する対策の必要を訴える、あるいは対策となるソリューションの紹介を行うブースが非常に多く(※それと反比例するように昨年まで殷賑を極めていた電子書籍関係の展示が激減しています)、これではスマートフォン&モバイルEXPOではなくネットワークセキュリティEXPOではないか、と言いたくなるような状況を呈していました。

もちろん、スマートフォンや他のモバイルデバイスを利用する上で、今やネットワークサービスの利用は不可欠ですから、こうした防衛策は必須かつ緊急性が高いのは事実ですが、それが前面に押し出される状況に多少の違和感があったのも確かです。

「水も漏らさぬセキュリティ対策」は実現できるのか

ALSIのブース
今回の展示ではここを含め、「モバイル端末からいかに安全に社内情報にアクセスできるようにするか」を主題とした展示を行う企業が多数存在した。

以上、「第4回スマートフォン&モバイルEXPO 春」および同時開催の周辺各展示会からセキュリティ関連の展示に的を絞ってご紹介してきました。

正直言って、「スマートフォン&モバイル」が主題の筈の展示会でここまでセキュリティ強化の大合唱となるというのは想定外だったのですが、最近の新聞報道などでも明らかなように国内も国外もマルウェアによる不正アクセスやクラッキング攻撃による被害が激増(※中には国策でこうした不正なクラッキングを行うための組織を保有している国家もあるようですが)していることを考えると、これも致し方ないことなのでしょう。

ただ、各社の展示するソリューションを見ると、いずれも自社の持つ得意分野、あるいは技術を最大限に生かすことに主眼を置いた方法論が示されており、そうした「必殺技」あるいは「得意技」のない企業がこの問題に抗するのが難しいことを示唆しています。

「水も漏らさぬ完璧なセキュリティ対策」というのはヒューマンエラーの存在も考慮すると事実上不可能に近い気がしますが、顧客となる各社にとっては死活問題ですから、それに限りなく近い状態を実現するための努力や新しいアイデアの投入は今後も各社で続くのでしょう。

個人的には、無法地帯に近いAndroidスマートフォンやタブレットの現状を考慮すると、完全に端末側の環境から隔離して機密情報の取り扱いを可能とする、各種サービスのクラウド化と仮想化の組み合わせが一つの最適解となる(※もっとも、今回の展示会ではアンチウィルス系セキュリティソフトメーカー各社が揃ってそれらの保護・セキュリティ対策を訴求した展示を行っており、これらとて万全では無いことを示唆しています)のではないか、と思ったのですが、今後、ひょっとすると筆者などには想像も付かないような「それ以上」のアイデアが出てくるのかもしれません。そんな風に思わせるほど、今回のセキュリティ関連展示は各社とも「必死」の度合いが違って見えました。

コメントは受け付けていません。

PageTopへ