このページの本文へ移動

特集記事 サイバー攻撃の激化で、改めて考える企業の情報セキュリティ ―最新Windows Serverのセキュリティ機能を活用して情報資産を守る―

特定の政府や企業を執拗に狙い撃ちする標的型攻撃、PCに加えてスマートフォンも狙うようになったウイルス、マルウェアの蔓延…企業の重要な情報・データの窃取・漏洩を企てるサイバー攻撃やセキュリティ侵害のリスクが、数年前とは比較にならないほどに増しています。とりわけ、利用者が多いぶん攻撃者に狙われやすいWindowsプラットフォーム環境の運用においては、自社の情報セキュリティ対策を今日の実態に合ったアプローチへと刷新することが急務だと言えます。今回は、現在の企業を取り巻くセキュリティリスクの実態を解説した後、最新のWindows Server 2012 / Windows 8の主要なセキュリティ機能を取り上げながら、今、企業がなすべき対策について考察します。

今、眼前にある脅威
―世界中で猛威をふるうサイバー攻撃

ここ数年でサイバー攻撃の被害が急増し、政府機関や大企業での被害を中心に報道が多くなされるようになりました。主だったものだけ挙げてみると、「"サイバーテロ"時代の幕開けか」と世界中を震撼させたイランの核関連施設へのサイバー攻撃事件(2011年7月)をはじめ、大手ゲームコミュニティーサイトがハッキングされ1億件超の会員個人情報が流出した事件(2011年4月)、日本の防衛関連企業を狙ったサイバー攻撃事件(2011年9月)、2013年に入っても、宇宙航空研究開発機構(JAXA)が管理するシステムへの不正アクセス事件(同年1月)、韓国のマスコミと金融機関への同時多発的なサイバー攻撃事件(同年3月)などがあります。とりわけ、サイバーテロや社会インフラを管理する官公庁・民間企業を狙った攻撃が増加していることから、各国とも国家レベルの体制を整えて、対策を強化しています。

ネットワークを介したサイバー攻撃の脅威が顕在化したのは、もちろん今に始まったことではありません。インターネットが広範に普及した2000年以降、コンピュータウイルスやワームなどのマルウェア被害が年々増大し、DDoS(分散型サービス不能)攻撃と呼ばれる複数の踏み台を使い集中的に大量のトラフィックを送ってサイトをダウンさせる攻撃も頻発していました。
こうした以前からある攻撃手法は、現在ではより狡猾・悪質な手法へと進化していますが、当時と今とで大きく変わったのは、攻撃者がサイバー攻撃を仕掛ける目的(動機)と規模です。以前なら、世間を混乱させたい愉快犯や、自身のハッキングの腕前を世間に誇示したいハッカーによる攻撃・侵入が大半で、1つの攻撃にかかわる人数も1人から数名程度というケースが大半でした。一方、昨今の攻撃者は、金銭目的での詐欺行為や、政治的・宗教的信条に基づいた抗議や威嚇など目的がより明確化しているうえ、組織化された犯罪集団や、インターネットでの呼びかけに集まった不特定多数の集団という大規模な人員での攻撃が増えています。

【10大脅威執筆者会が選んだ2013年版10大脅威】

脅威の実態を踏まえて、「出口対策」に
より重きを置いたセキュリティ対策を

こうした昨今のサイバー攻撃やセキュリティ侵害に対して、今、企業はどのようなセキュリティ対策を講じていく必要があるのでしょうか。

具体的な対策を検討する前に1つ、心に留めていただきたいのは、「これまでの情報セキュリティで常識とされてきたことが、常識ではなくなりつつある」ということです。というのも、近年に大規模なサイバー攻撃の被害にあっている企業や組織は、なすべき一定の対策はきちんと行っているのにもかかわらず、攻撃を押しのけることができなかったところが大半なのです。
前章で挙げたサイバー攻撃の被害事例を見ても、いずれもセキュリティには相当のお金と労力をかけていた政府機関や大企業であり、これまでの常識、すなわち、外部からやってくる攻撃を社内ネットワーク / システムの入口で阻止する「入口対策」がもはや通用しなくなっていることがわかります。

これまでの常識が通用しなくなっているということは、情報セキュリティの専門家の間で共通見解となっていて、「出口対策」をより重視して対策を講じることが推奨されています。出口対策とは、実際にシステムやネットワークに攻撃・侵入された後に行う事後的な対策のことです。昨今のサイバー攻撃の猛威を目の当たりにして、これまで長らく重視されてきた入口対策にはもはや限界があり、「侵入されるところまではやむなし」として、その後のウイルス発動などによる情報・データの窃取や破壊を未然に防ぐことに注力する――これが、今求められている現実的な対策アプローチとなります。具体的には、侵入の痕跡をいちはやく検知するためのログ監視・管理、フォレンジック(不正調査)、検疫ネットワークや、侵入は許しても機密情報の外部への送信や解読を阻むバックドア通信検知・阻止やデータ暗号化などの機能が該当します。

ただし、出口対策を重視せよといっても、ファイヤウォールやウイルス対策ソフトなどで行ってきたこれまでの入口対策をおろそかにしてよいというわけではもちろん、ありません。引き続き入口対策をしっかり行いながら、出口対策をいっそう強化して備えるというのが、企業情報システム担当者がとるべき基本方針となります。

【今日のセキュリティ対策は「入口対策」に加えて「出口対策」が必要】

セキュリティ対策全体の要となる
「Windows OS自体のセキュリティ」

上述したようなサイバー攻撃やセキュリティ侵害は、何も政府機関や大企業に限った話ではありません。マスコミで大きく報じられないものの、業種や規模を問わず、企業が抱える機密データや顧客の個人情報を「カネになる」と目を付けて窃取を企むサイバー犯罪集団が暗躍しているというのが実態です。こうした実態に踏まえて効果的なセキュリティ対策を計画し実践していくにあたり、企業が最優先で検討すべき事項の1つに、Windowsプラットフォームにフォーカスしたセキュリティ対策が挙げられます。

その理由は明らかで、Windowsが企業のクライアントPC / サーバの双方において最も重要なOSプラットフォームになっているからです。x86プロセッサ搭載サーバとWindows Server OSの組み合わせで構築されるPCサーバが、この10年で飛躍的な進化を遂げたことで、今では部門内のファイルサーバからバックエンドの各種業務システム、そして基幹業務システムまで幅広い用途で利用されているのはご存じのとおりです。

こうして「クライアントもサーバもWindows」「基幹業務システムもWindows」という企業が多数を占めるようになったのに伴い、Windowsが攻撃者のターゲットとされるケースも急増しています。マイクロソフトから毎月配布されるWindows OS用のセキュリティ・パッチの数がその裏付けです。標的型のサイバー攻撃の第1段階では、ターゲット企業の社員に業務関係者を装ってウイルス添付メールを送り付けますが、その際、Windows OSや関連ソフトウェアの脆弱性を悪用するのが常套手段となっており、同OSには入口と出口の両面で確かな対策が欠かせません。

ゆえに、企業の情報システム担当者が自社全体のセキュリティ対策を講じていく際、まずは、Windows OSの標準セキュリティ機能を適切に活用することが最初のステップにして、自社におけるセキュリティ対策全体の要となってくるわけです。

最新Windowsプラットフォームに備わる
主要なセキュリティ機能

今から11年前の2002年、米国マイクロソフト共同創業者・会長のビル・ゲイツ氏は、同社およびWindowsが今後、最も注力する取り組みとして「Trustworthy Computing(信頼に足るコンピューティング)」を掲げました。以来、Windows OSのセキュリティはバージョンアップのたびに進化を遂げ、最新世代のWindows Server 2012およびWindows 8では、Trustworthy Computingを駆動するOSプラットフォームにふさわしいセキュリティ性能・機能の強化が施されています。以下より、Windows Server 2012を中心とした最新のWindowsプラットフォームに備わる主要なセキュリティ機能を挙げて確認していきます。

Active Directoryによる統合ユーザー / コンピュータ管理

ご存じのように、今日の企業情報システムは、その企業の正社員のみならず、派遣契約社員やパート契約社員、パートナー企業の社員など、さまざまなユーザーがビジネスのさまざまな局面で利用しています。したがって、利用組織が認可した「"正規のユーザー"や"正規のコンピュータ"に、"正しい権限"を与え、"正しいアクセス手段"を提供する仕組み」の確立は、セキュリティおよびコンプライアンスを維持・強化していくうえで欠かせないものとなっています。

この仕組みの確立にあたって中核を担うのが、Windows Server標準のドメインサービス「Active Directory」です。Windows Server 2012に標準で備わるActive Directoryでは、クラウド / オンプレミス(自社運用)環境間で一貫性のあるユーザーおよびコンピュータ管理の仕組みが実現されています。機能強化のポイントとしては、Active Directoryドメイン・コントローラ(DC)の仮想化環境のサポートと、CUI(コマンドライン・ユーザー・インターフェース)の管理コンソールPowerShellの強化の2つが挙げられます。

まず、Active Directory DCが仮想化環境をサポートしたことで、従来、Windows Server 2008で構築された仮想化環境でActive Directory DCを実行する際に仮想マシンの管理作業などで不便が生じていたのが改善されました。この強化の背景には、Windows Server 2012における仮想化が、OSの上のレイヤーに追加される仮想化環境への対応ではなく、標準でOSに統合された仮想化環境の構築を前提に設計されたことがあります。

一方、PowerShell管理コンソールについては、バージョンが3.0となり、各種の管理作業のさらなる効率化が図られています。システム管理者は、前バージョンのPowerShell 2.0から数が10倍に増え、記述の簡略化などより扱いやすくなったコマンドレットを用いて、イベントログ収集および集計やリモート・コンピュータへの各種操作といった、セキュリティ管理のための管理作業をより快適に行うことができます。

認証と承認機能

上の項目と関連して、ユーザーやコンピュータの認証・承認プロセスも強化されています。Active Directoryと連携した新しい認証・承認プロセスによって、上述した「正規のユーザーやコンピュータに正しい権限を与え、正しいアクセス手段を提供する仕組み」が確立され、悪意を持った外部・内部のユーザーによる不正アクセスのリスクを極小化します。具体的には、認証プロセスの後、承認およびダイナミックアクセス制御(DAC)を用いて、認証されたユーザーに対し、リソースにアクセスするための正しいアクセス許可があるかどうかの確認を行う仕組みが備わっています。

Windows Server 2012およびWindows 8では、DAC自体にも強化が図られ、ユーザーグループやユーザーの信頼性情報、デバイスの信頼性など複数の項目を集約した「集約アクセス規則」と、それを1つのポリシーとして運用可能にする「集約型アクセスポリシー」に対応するようになりました。また、特定の条件(デバイスのグループ メンバーシップ、場所、セキュリティ状態など)が満たされる場合のみリソースへのアクセスを許可 / 拒否することを可能にする「条件式」による設定もサポートされています。

AppLockerによるアプリケーション実行制限とファイルアクセス制限

「AppLocker」は、前バージョンのWindows Server 2008 R2およびWindows 7で登場した、ユーザーが実行できるアプリケーションとファイルを指定・制限する機能で、こちらも「正規のユーザーやコンピュータに正しい権限を与え、正しいアクセス手段を提供する仕組み」の確立に寄与します。AppLockerで指定可能なアプリケーションとファイルには、実行可能ファイル、スクリプト、Windowsインストーラー ファイル、DLLなどが含まれます。Windows Server 2012 / Windows 8標準のAppLockerでは、パッケージ アプリケーションとそのインストーラーの規則を設定する機能の追加や、管理保守作業向けのPowerShell コマンドレットのサポートなどが新たに加わっています。

BitLockerによるデータ暗号化

「BitLocker」はWindows Vistaで初めて搭載されたデータ暗号化機能です。ディスク・ボリューム全体と、そこに保存されている全データを暗号化することで、万一ディスク装置ごと盗難されても、データ内容の窃取・漏洩を阻止することが可能になります。Windows Server 2012 / Windows 8標準のBitLockerでは、使用済みディスク領域のみの暗号化とフルボリューム暗号化という2種類の暗号化方法が利用できるようになったほか、Windows 8では、OSのインストール段階での暗号化(BitLockerのプロビジョニング)がサポートされています。なお、セキュリティチップの「TPM(Trusted Platform Module)」を搭載したコンピュータでは、ハードウェアレベルで制御される暗号化が利用可能になります(詳細は次章で紹介)。

Windows生体認証フレームワーク(WBF)

一人ひとりで異なる不変の身体的特徴を認証手段に用いる生体認証の技術が進歩し、一般的な企業情報システムでの導入が広がっています。「Windows生体認証フレームワーク(WBF)」は、指紋リーダーなどWindows Server 2012上の生体認証デバイスの開発・管理のためのサービス群とインターフェースで構成されています。企業はWBFを用いて、ローカルやローカル ドメイン上のサーバやPCにおいて、生体認証デバイスをより簡単に構成・管理できるようになります。

Windows Server 2012とPRIMERGYが実現する
セキュアーで信頼性の高いシステム基盤

冒頭で述べたように、サイバー攻撃やセキュリティ侵害の傾向は数年前とはまるで様相が異なり、攻撃手法も狡猾さがより増しています。そのリスクの大きさを鑑みると、前章で紹介したような最新のWindowsプラットフォームに備わる強力なセキュリティ機能は、現在、企業を取り巻く種々の脅威から自社の重要な情報資産を確実に保護するうえで必須であり、企業の情報システム担当者におかれては、サーバ / クライアントの両環境ともに、現行のWindowsへのバージョンアップが急務だと言えます。

その際にはもちろん、既存のPCサーバやクライアントPCに対しOSのみをバージョンアップすることも考えられますが、コンピュータ全体でのセキュリティ性能をより高めるためには、やはり、製品ライフサイクルに沿ったハードウェア / OSをセットにしたリプレースが最も望ましいアプローチとなります。とりわけ、PCサーバにおいては、例えば不審なトラフィックにCPUやネットワークリソースを占有されるなどして、業務システムやWebサーバ、メールシステムなどの安定的なサービス提供に支障が出ないよう、十分なスペックとキャパシティーを備えている必要があることにも留意すべきです。

富士通は、最新のサーバ・ハードウェアと最新のWindows Server OSの組み合わせが、今現在に企業を取り巻く脅威と、今後に発生しうる脅威に対処可能なセキュリティ基盤を確立するうえでの、ベストのアプローチであると考えます。その考えに基づき、Windows Server 2012を搭載したPCサーバ「PRIMERGY」を、用途や規模、設置スペースなど環境に応じて選べる、幅広いラインナップをご提供しています。

PRIMERGYでは、いずれの機種においても、Windows Server 2012標準の豊富なセキュリティ機能を、余裕をもって動作させることができ、企業の重要な情報資産や顧客・社員の情報プライバシーを保護します。また、TPMセキュリティチップを搭載した機種もラインナップに加えており、TPMとBitLockerの連携によって、システムボリュームとデータボリュームおよびリムーバブルディスクに対するハードウェアレベルの暗号化でデータ保護の堅牢性をより高めることを可能にしています。

なお、PRIMERGYでBitLockerをご使用になる場合の注意事項をわかりやすくまとめた文書をご提供しております。加えて、種々のセキュリティリスクから企業の大切なデータ資産を保護するための情報・サービスをご案内しています。

最新のWindows OSとPCサーバへのリプレースや新規導入によって、企業は、部門内ファイルサーバから基幹業務システムに至るあらゆる業務用途において、セキュアーで信頼性の高いシステム基盤を構築できるようになります。今日の脅威の実態に即した、有効なセキュリティ対策の第一歩として、ご検討をされてみてはいかがでしょうか。

Windows Server 2012との組み合わせで、セキュアーで高信頼なシステム基盤を実現するPCサーバFUJITSU Server PRIMERGY

FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)