国のセキュリティ対策機関「内閣サイバーセキュリティセンター（NISC）」では、サイバーセキュリティについて「知る・守る・続ける」をキャッチフレーズとし、各企業へサイバーセキュリティ対策の啓蒙を進めている。しかし、特に人員や予算の限られた中小企業や、世界中にWebサイトを持ち管理に手間がかかる大企業などでは、効率的な対策導入に踏み切りにくいという実態があることも事実だ。そこで同社では安全・安心なサーバ運用を安価に導入可能とするサーバセキュリティサービス「攻撃遮断くん」を2013年より提供してきた。

■「攻撃見えるくん」で攻撃を「知る」
そしてこの度「攻撃遮断くん」がバージョンアップされ、過去の攻撃データ分析や、セキュリティ機能のカスタマイズなど多くの機能を追加。その中でも、自社がどこからどの程度攻撃を受けているかを地図上やグラフに表す、リアルタイムに攻撃を可視化するサービス「攻撃見えるくん」が提供開始となる。様々な企業に自社への攻撃の存在を「知る」体験をしてもらうべく、「攻撃見えるくん」は無料で公開されるとのこと。

攻撃の可視化を実現した「攻撃見えるくん」と、より便利に、より防御機能が高まった「攻撃遮断くん」によって、さらに効果的にサイバー攻撃対策を「続ける」ことが可能となる。同社では、「攻撃見えるくん」、またバージョンアップされた「攻撃遮断くん」の提供をはじめとしたセキュリティサービスにより、世界中の人々が安心安全に使えるサイバー空間を創造していくとのことだ。

■「攻撃見えるくん」日本初のポイント ～リアルタイム・無料～
自社に対するサイバー攻撃が、どこからどの程度行われているかを図るツールは今までも存在したが、サーバのログをまとめて解析する形式のものが多く、実際に攻撃を受けた時間との時間差が生じていた。また、ログデータを解析する必要があるため、どこからどのような攻撃を受けているかを可視化することができず、分析にさらなる時間が必要だった。

「攻撃見えるくん」はどこからどのような攻撃を受けているかを地図上に視覚的に表し、グラフ化も自動で行うため、ページを開くだけで攻撃の傾向を理解することができるのが特徴。また、常にリアルタイムで表示しているため、今どのような攻撃を受けているかを即時的に確認することができる。
■基本料金

■攻撃ログ表示件数

■従量課金プラン（5000万リクエスト毎）

■攻撃ログ表示数追加料金

■「攻撃遮断くん」バージョンアップについて
「攻撃遮断くん」は、サーバへのあらゆる攻撃を遮断するIPS＋WAFクラウド型サーバセキュリティです。革新的な仕組みにより、クラウド（IaaS）を含むほぼ全てのサーバに対応し、ネットワーク、OS、Webアプリケーションへの攻撃を防ぐことができる。保守・運用に一切の手間をかけることなく、24時間365日のセキュリティを実現。NTTドコモをはじめ、官公庁、大手金融機関、大手航空会社、大手ECサイト、大手広告代理店、大手メーカーなど150IP500サイト以上に導入されている。

今回のバージョンアップでは、ユーザーそれぞれの環境にさらに適した運用ができるよう、様々な改善を行ったとのことだ。

＜バージョンアップのポイント＞
■攻撃可視化（攻撃見えるくん）によってリアルタイムで状況を確認可能←無料公開
■24時間365日 サービスの申し込み可能
■最短5分、24時間以内にサービス開始可能
■データセンターを安心の国内に設置
■過去の攻撃データから分析可能
■監視センターとの接続状況確認可能
■お客様に合わせたフルカスタマイズ機能を実装（攻撃遮断くんのみ）

【攻撃見えるくん／攻撃遮断くん 申し込みフロー】
①企業申請
②企業アカウント承認
③「攻撃見えるくん」「攻撃遮断くん」申し込み
④翌営業日 サービス利用開始

※企業アカウントにすべてのサービス、IPは紐づいています。
※サービスごとに個別の監視センターを作り、お客様はサービスごとに管理していただきます。

■攻撃見えるくん

■ニュースリリース
■NTTコミュニケーションズ

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■セキュリティに関連した記事を読む
・NTTコミュニケーションズが新たに「情報セキュリティ部」を設置
・スマホやタブレットからIoTへ、セキュリティ・プライバシーに関する意識はどう変化した？
・ITライフハック総編集長が「情報漏えい広報大使」に就任MOTEX「春の“NO MORE 情報漏えい”運動」開催中
・NTTコミュニケーションズが情報セキュリティのトレンドを知る勉強会を開催
・モバイルアプリでもウイルスの脅威が増加！　マカフィー、2014年第4四半期の脅威レポートを発表

今年はソフトウェア開発環境、データウェアハウス&CRM、データストレージ、組込みシステム、情報セキュリティ、Web&モバイル マーケティング、スマートフォン&モバイル、クラウド コンピューティング、データセンター構築運用、ワイヤレスM2M、通販ソリューションなどの各種関連製品、サービスが展示されていた。

今後、増加するスマホやタブレットにおけるデータ消去の必要性への対応として株式会社ブランコ・ジャパンのブースを紹介しよう。

■モバイルのデータ消去「Blancco 5 Mobile」
スマートフォン＆モバイルEXPO春に展示している株式会社ブランコ・ジャパンのブースでは、情報漏洩対策「Blancco 5 Mobile」に関する展示が行われていた。

Blanccoは、1997年の設立以来、データ消去のグローバルリーダーとして、全世界100か国以上で、データ消去ソフトを提供してきた。 Blanccoのデータ消去ソフトは、とくに企業や政府機関など、大規模なIT環境を持ち、かつ高いセキュリティレベルが要求される組織で採用されている。

Blancco 5 Mobileは、スマートフォンやタブレットなど各種スマートデバイスのユーザ変更・譲渡・廃棄時に、デバイスの内蔵メモリに残されたデータを安全かつ効率的に消去し、情報漏洩対策を強化するためのソフトウェアだ。

消去のモニタリングや複数デバイスの同時消去、消去レポートの自動発行など、データ消去から消去後の管理までのプロセスを効率化する多くの機能が実装されていた。iOSおよびAndroidを搭載したデバイスに対応している。

レポーティング機能があり、データ消去後に消去対象となったスマートフォンやタブレットの詳細情報を記録した消去レポートを自動で発行することができる。

■「Japan IT Week春」
■株式会社ブランコ・ジャパン

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■ITビジネスに関連した記事を読む
・昨年度から倍増！　「楽天IT学校」が過去最大となる日本全国47都道府県の57高校で実施
・ぷらっとホームよりIoT・M2Mシステムの構築に最適なオールインワンの「OpenBlocks IoT EX1」が登場
・ソフトバンクがヤマダ電機と資本業務提携！　総額227億6,100万円でヤマダ電機の株式48,324,400株を取得
・NTTコミュニケーションズのVPN「Arcstar Universal One」に新機能を順次提供
・“SIガラパゴス”を打ち破れ！――A-STARの目指すITエンジニア戦略とは

勉強会にはNTTコミュニケーションズのセキュリティ・エバンジェリストである小山覚氏が登壇。企業を取り巻くセキュリティ脅威の動向やリスクマネージメントの見直し、NTTコミュニケーションズへの標的形攻撃の実態と対策について解説された。

■今後増大するIoTへのセキュリティ対策が重要
今後のセキュリティを考えて行くには、IoT（Internet of Things）とエンドポイントが重要であると小山氏。エンドポイントとは聞き慣れない言葉ではあるが、これまでウイルス対策がセキュリティの重要な課題であったが、もはやそれでは遅く、ゼロデイ攻撃などに対応するまでの時間がかかってしまう。そこでこうした攻撃に対して、いかに事前に対応できるかをセキュリティ関連の会社はしのぎを削っている。またIoTについてはだれも手を付けていない。東京オリンピックを考えても、IoTのセキュリティが必要であるというが、今後の課題へとゆだねられたままだ。

実際に、リモート実行による攻撃の大半がゼロデイ攻撃であり、マイクロソフトも知らないところで起きているとか。攻撃発見に要した日数も243日にもなってしまうそうだ。また、アンダーグラウンド・マーケットも活性化されており、従来型のセキュリティ対策が通用しなくなってしまった。

IoTに目を向けてみると、今のところは様々なデバイスがつながれている状況ではないので、大きな問題となっていないが、注意しなければならないのはブロードバンドルータだと小山氏。機器の脆弱性が悪用されて第三者に攻撃される場合、そのほか容易なパスワードから侵入し、攻撃や犯罪に利用される場合などが挙げられる。

つまりIoTのセキュリティ対策は、ネットワークに接続された管理者不在の「モノ」との戦いとなるかもしれない。人が常時操作しているパソコンやスマホなどでも攻撃の踏み台になることがあり、人の関与が少ない「モノ」はさらに注意が必要である。脆弱なIoTのデバイスについて、安心・安全なIoTの普及は、ビジネスとして民間が解決する問題。悪用されるIoTへの対策は、官民が連携して取り組むべき課題となる。

■セキュリティマネージメントの見直し
クラウド時代となった今では、BYODも含め管理すべきマシンの数も増え、正確に把握していないケースもある。つまりセキュリティ管理者が、より簡易に抜けもれなくセキュリティ強化が実施できる工夫が必要だ。IT関連の資産登録やDB化をしつつセキュリティ管理者による対策の実施もほか、前登録システムの脆弱性対応状況の管理をしていくことが必要だろう。加えて経営者には、事業継続のためにシステムを停止できるか、攻撃者よりも早く決断をすることが大事である。

また近年行われている、メール感染型のマルウエアによる攻撃だが、すでに知られているドメインからは攻撃をしてこない。新しいドメインを確保して攻撃をしてくるため、汎用のブラックリストでの対策はできなくなっている。自分自身が受けたサイトを付け加えるといった対策が必要だ。

また攻撃者も、いきなり高度な攻撃を仕掛けてくるのは稀で、様子見程度の中規模なものから始めることが多いとか。さらにウイルス対策ソフトがまだ知らないウイルスにより攻撃されるため、上り下りの通信をすべて見るとか、サンドボックスというような、毒味装置により発見されることも多い。

結論として、これからのグローバルなビジネスの世界だけでなく日本でも情報セキュリティが重要視されており、今後いっそう企業によるリスクマネージメントのあり方が問われる時代となっている。また起業の重要情報を標的形攻撃から守るためには、市販のセキュリティ機器に頼った対策だけでは攻撃者の思うつぼ。リスクに対応するためには、不審なメールを開かないと言った社員教育と、既存のセキュリティ対策を実行するとともに、攻撃者が想定していない方法で、ログを相関分析して脅威を検出することが重要であると小山氏は語った。

■NTTコミュニケーションズ

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■セキュリティに関連した記事を読む
・モバイルアプリでもウイルスの脅威が増加！　マカフィー、2014年第4四半期の脅威レポートを発表
・ディー・ディー・エス三吉野社長「FIDO」について語る
・パスワード疲れよさらば！　「FIDO Alliance 日本上陸記者発表会」レポート
・IOE時代の家庭内セキュリティ対策はこれでバッチリ！高度なセキュリティ機能を持つASUS「RT-AC87U」
・パスワード疲れをなくせ！　インテルの次世代パスワード管理技術「True Key」が凄いワケ

この発表会にて、先述したように日本初のFIDO Alliance加盟企業となる株式会社ディー・ディー・エスの代表取締役社長三吉野健滋氏に直接お話しをうかがうことができたので紹介しよう。

■FIDOが日本で理解されるよう頑張っていきたい
「FIDOはまだ日本では生まれたばかりですが、パスワードのない世界は、本当に万人が待たれるところだ思います。…..」と語った。

・ニコニコ動画
・YouTube

■株式会社ディー・ディー・エス

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■セキュリティに関連した記事を読む
・なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第3回 情報漏洩問題の原因と対策 ～
・なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第2回 最新のセキュリティ ～
・なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第1回 マイナンバー制度 ～
・IOE時代の家庭内セキュリティ対策はこれでバッチリ！高度なセキュリティ機能を持つASUS「RT-AC87U」
・すべてを守る総合セキュリティソフト！ 編集長がそれを選んだ理由とは？

この新しいシステムを普及させ、従来の複雑なパスワード管理からユーザーを解放し、よりセキュアでありながらも各デバイスやサービスを手軽に利用できる世界を目指すようだ。

現在、数多くのインターネットサービスがあり、それぞれにアカウントIDとログインパスワードを設定し、各サービスの利用を行う際にはIDとパスワードを各デバイスに入力してやる必要がある。

簡単に覚えられるパスワードは、破るのも簡単なわけで、このパスワードをどうするかでに悩んでいる人も多いだろう。PCやスマホといったネットに簡単につながる環境が身近になってきたことで、様々な機器でパスワードを管理する必要が生じてしまった。こういったパスワード管理に追われて疲弊する「パスワード疲れ」という言葉まで登場してきた。

いまですら大変なのに、今後IoTが発展していくことで、使用するデバイスの数も飛躍的に増える。このため、パスワード管理はさらに面倒になっていくことが予想されている。

ユーザーのパスワード疲れをなすく世界がTrue Keyが目指すものだ。複雑なパスワード管理を手軽にこなせる世界の実現を目指すと言うのである。

今回、CESでデモしていたのは、顔認証システムと普及が進んだスマートフォンを組み合わせた認証方法で、パスワード入力なしにサイトへのログインや、家のドアを開けることができるというシステムだ。

パスワードの管理だけであれば、パスワード管理アプリを使えばいいじゃないかと考える人もいるだろう。しかし、そのパスワード管理アプリを使うためのマスターパスワードは必要、もし、そのパスワードを忘れてしまうと中に記憶させた多数のパスワードがわからなくなってしまう。この手の機能は、パスワード入力を、いちいち行わずにログインできるよう利便性の向上のために用意されている。一度、設定してしまうと、以降はIDとパスの入力が不要になる。ただし、本人以外のユーザーが、そのパソコンを使っていたとしても、パスワードの入力は不要だ。

そしてTrue Key自体は、2014年12月にインテルが買収したパスワード管理アプリを提供する、PasswordBoxの技術が使われている。

しかし、True Keyではパスワードだけではなく、顔認証のような生体認証、信頼されたデバイスといった複数の要素を組み合わせることで本人確認を徹底できるので、よりセキュアになる利点もある。

顔認証と自分が所有しているスマホという複数の認証を経由することが「パスワードを入力する」のと同じ意味を持たせているわけだ。

このような新しい管理システムは多くのユーザーが必要とするようになってくるだろう。True Keyは2015年1月より、米国のユーザーに向けて最初のバージョンを提供する予定となっている。

今後は、各ネットサービスとの連携も含め、よりいっそうの機能向上を目指し、ユーザーの利便性の高いシステムに進化させていく予定、さらに日本での提供も予定されている。

上倉賢 @kamikura [digi2(デジ通)]

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■デジ通の記事をもっと見る
・パーソナライズされ、より便利に進化したRoviの番組表検索機能
・中身がAndroidなシャープの新世代ケータイ「AQUOS K SHF31」
・新生LaVieで本気になってデジタルライフ実現を目指すNEC
・富士通の春モデルで大注目！　無線ディプレイの新感覚パソコン「LIFEBOOK GT77/T」
・NECがPCブランドをリニューアル！　「LaVie」を頂点にしたNECのパソコン2015年春モデル

しかし、Windows Server 2003が提供されてから12年が経過しており、サーバーの環境もかなり変わってしまっている。単純にサーバーOSを最新版にアップグレードするだけで無く、12年の間に様々な選択が可能になっている。Windows XPをWindows 8.1にするのと同じように、単にOSを最新のものに入れ替えるのが正解ではない。じゃあどうしたらいいのか？

日本マイクロソフトは、Windows Server 2003のサポート終了において様々な取り組みをしてきた。この結果、2013年末には推定36万台の稼働しているWindows Server 2003サーバーあったが、2014年末には21万台になっている。1年間で15万台減らすことができたわけだ。これを来年7月までの約200日間で、さらに16万台を減らし5万台までにする計画だ。1年間で15万台減らした以上のペースで移行を進める必要がある。

Windows Server 2003は2003年6月にリリースされたが、この頃の環境と現在は状況が大きく変わっている。従来は社内にサーバーを設置するオンプレミス型が主流だったが、現在はクラウドを活用する環境や、クラウドとオンプレミスを併用するような利用環境も増えている。またハードウェアの物理的な台数自体も、仮想化機能を活用し、従来より減らすようなことが当たり前になってきている。

テレワークやBYOD、タブレットやスマートフォンの活用といったユーザーの利用環境も多様化しており、これらに対応するには単にサーバーOSを最新版にするのではなく、将来に備えた環境に移行する必要がある。当然ながら、マイクロソフト製品以外のサーバーOSの選択肢もあるわけで、どの環境に移行するのが自社にベストなのかの判断は様々な選択肢をピックアップし検討する必要がある。

日本マイクロソフトによれば、サーバー移行が進んでいない理由の54.7%は予算と経営層の理解不足だという。現時点で経営層がこれらの環境の変化を理解できていないとすれば、来年7月までの最新の環境への対応はかなり厳しいだろう。経営層は自社のサーバー環境くらい理解しておき、適切な判断と予算計上で、正しい環境移行を行ってもらいたいところだ。サポートが完了したサーバーOSで、そのまま稼働を続けたために不正アクセスされ、被害を受ける危険性が飛躍的に向上してしまう。そういったことのないように、今から準備しておくのが基本だ。

上倉賢 @kamikura [digi2(デジ通)]

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■デジ通の記事をもっと見る
・要注意！　ターゲットが固定電話から携帯電話へと変わりつつある迷惑電話や詐欺電話
・導入推奨！ マカフィーがスマートフォン向け迷惑・詐欺電話防止アプリの提供を開始
・急激な円安でアップルがMacを値上げ？　しかもiPhone 6以上の値上げ幅か？
・デルから高性能な曲面ワイドディスプレイと低価格ながら本格的な4Kディスプレイが登場
・被害者の権利はどこに？「忘れられる権利」行使の裏に潜む個人情報のダダ漏れ

その解決方法として今回日本HPが提供するサービスを利用することで、従業員が業務用に利用している個人所有のデバイスが非常に低価格で管理できるようになるわけだ。

中小企業では、業務で使用するデバイスを業者を介さずに一般の小売店で購入したり、個人所有のデバイスを業務で無断で使用していることが多く見受けられる。つまり、端末が管理されていないケースが多いのだ。

大手企業なら、業務で利用するデバイスは会社で完全にコントロールし、従業員に支給するといったことが行われている。しかし、予算が限られた中小企業では、運用ルール自体もゆるく、そもそも端末管理のシステムすら構築していないというケースもある。

これで問題になるのが、各デバイスの重要データの管理及びセキュリティ対策だ。自社で管理しているデバイスなら、セキュリティポリシーを強制的に適用し、さらに決め打ちでセキュリティソフトを導入させることが可能だが、個人で利用している端末では難しい。

個人利用の端末は従業員が勝手にデバイスをセットアップするため、OSやプラットフォームがバラバラで既存の管理ツールでは、サポートしていないOSの場合、管理することが難しいというケースもある。

今回日本HPが提供する「HP Touchpoint Manager」は、このような環境に向けたソリューションとなる。マルチデバイス、マルチOSに対応出。料金体形はデバイスごとでは無く、ユーザー単位となり、1ユーザーあたり5台のデバイスまで管理可能。管理画面はWebベースの管理画面で、非常に簡単に各デバイスを管理できるようになっている。

管理できる内容はパッケージごとに異なるが、1ユーザーで月額200円となる最も低価格なベーシックパッケージの場合でも「デバイスの稼働状況監視」、「トラブルの事前アラート機能」、「セキュリティ設定の自動適用」、「デバイスリモート管理」、「デバイスのリモートロック機能」といった十分な機能が利用できる。

1ユーザーあたり月額1,100円のプロパッケージになると、ベーシックパッケージの機能に加えて、「各デバイスのリモートデータ消去」、「パスワードのリセット」機能、「デバイスの位置情報取得」、「コールセンターサポート」といったものが加わる。

対応するOSはWindows、Android、iOSで、現在一般的に使われているほとんどのデバイスで対応できる。今まではコストの問題で、各ユーザーが利用しているデバイスの管理をしていなかったような環境でも、ユーザーごとに低価格で導入可能となるわけだ。BYOD利用の条件として、このサービスに強制加入すること、としておけばトラブルフリーで従業員の個人所有の端末を利用できるということになるわけだ。

本サービスは、2015年5月11日までに登録した場合、6か月間はサービススタートキャンペーンが適用され、ベーシックパッケージは無料、プロパッケージは半額で提供される。スマホやタブレットの業務利用を促進したいのであれば、まず本サービスを導入することから始めてみてはいかがだろう。

上倉賢 @kamikura [digi2(デジ通)]

■HP Touchpoint Manager

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■デジ通の記事をもっと見る
・ドワンゴが最新の動画コーデック「H.265/HEVC」をニコ生で活用し”tmt”解消へ
ドワンゴとNTTの協業第二弾が始動、より快適にニコニコ動画が視聴可能に
・キャリアごとに、ちょっとした差があるiPhone 5sの中古製品
・NVIDIA SHIELDタブレットがAndroid 5.0 Lollipopへアップデート開始
・ウェアラブルデバイスの駆動時間を延ばすためのディスプレイ技術

発表会にて、同社代表取締役　横田武志氏に直接お話しをうかがうことができた。

■簡単に導入しやすい低価格で、高セキュリティを提供
『今回リリースさせていただきました「攻撃遮断くん」Webセキュリティタイプ。こちらのサービスの特徴といたしましては、本当に誰もが簡単に導入しやすい低価格で、高セキュリティを提供しようというサービスになっております。…』

・ニコニコ動画
・YouTube

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■動画記事をもっと見る
・ 究極の1枚を撮るのにふさわしい！キヤノン中村部長が語るEOS 7D Mark II
・ アイレット齋藤社長が語る！虎ノ門ヒルズをオフィスに選んだ理由
・ Evolable Asiaベトナム法人代表薛悠司（ソルユサ）氏が語る、Evolable Asia Town 構想
・2017年年末までに5000名の体制を目指す！Evolable Asia日本法人代表吉村英毅氏が語る
・「本質+α」の商品を作っていく！VAIO関取社長が今後の展開を語る

このように重要な情報漏えい事件が発生すると、企業は莫大な損害を被ることになる。そうした状況を踏まえ、エムオーテックス株式会社（以下、MOTEX）が新たなプロジェクトを発足させた。その内容を紹介する発表会が開催されたので紹介しよう。

同社は、冒頭で紹介したように、もはや社会全体の問題である情報漏えいに関わるインシデントの解決、防止に貢献していく啓発PRプロジェクト“NO MORE情報漏えいプロジェクト”を発足させた。それに伴いオープンするプロジェクト特設サイトの紹介のほか、プロジェクト第一弾としてスマートデバイスの資産管理・生産管理・盗難紛失対策を行うスマートデバイス管理ツール「LanScope An Free（ランスコープ アン フリー）」についてのお披露目と内容の説明があった。

発表会では、日本屈指のセキュリティ著名人である株式会社ラック取締役の西本逸郎氏、HASHコンサルティング代表取締役である徳丸浩氏も登壇した。

■企業の「情報漏えい」を「自分ごと化」
発表会は、MOTEX代表取締役社長である河之口達也氏の挨拶から始まった。同社は24年前に創業したセキュリティ専門のソフトウェアメーカー。富士キメラ総研「2014年ネットワークセキュリティビジネス調査総覧 上巻」の「IT資産/PC校正管理ソフトウェア」の部門では、10年連続シェアNo.1を記録しているそうである。国内では、7500社に導入実績があり「日経コンピュータ顧客満足度調査2014-2015」の「総合運用管理ソフト（サーバー/ネットワーク管理系）部門」顧客満足度調査では見事に第1位となった。

河之口氏によると、情報漏えい事件が完全に撲滅できない要因のひとつとして、セキュリティがわかりづらく、どうしても人任せになってしまうという点があるそうだ。そうしたセキュリティの根本的なとらえ方に対して、経営者、従業員、一般のユーザー、それぞれの立場の方に必要な情報を、できるだけわかりやすく伝えることが大事だと言う。そこで「情報漏えい」を他人事ではなく「自分ごと化」して、それを啓発するために“NO MORE情報漏えいプロジェクト”を発足に至ったと、経緯を説明した。

エムオーテックス株式会社代表取締役社長 河之口達也氏

■情報漏えいのリスクを知ってもらう
引き続き、同社事業推進本部執行役員の池田淳氏より、“NO MORE情報漏えいプロジェクト”についての詳しい説明があった。

同氏によると、情報漏えい対策は、“禁止”よりも“抑止”が重要であるという。人は情報漏えいにつながる行動を取る前に、必ず何らかの意識があるので、その意識を変えようというものだ。企業には、様々な部署や役割分担があるため、それに合わせあらゆる立場において情報漏えいを「自分ごと化」しなければならない。そのためには複雑なセキュリティを誰にでも“わかりやすく”する必要がある。

ということで、わかりやすいコンテンツで情報漏えいのリスクを知ってもらうために、ケーススタディやコラムを公開する“NO MORE 情報漏えいプロジェクト”特設サイトを、今回、公開することにしたのだそうだ。

エムオーテックス株式会社事業推進本部執行役員 池田淳氏

■スパイ対策が必要不可欠
株式会社ラック 取締役最高技術責任者の西本逸郎氏は、情報漏えい事件に関する全般の話をした。情報漏えい事件としては、外部から直接社内のインフラに侵入されたり、スマートフォン（スマホ）やパソコン（PC）を盗まれて、情報を抜き取られたりと、様々な方法で情報が盗まれている実態を紹介。そして最大の脅威とも言える内部が原因で発生する情報漏えいに関しても言及。仕事用のスマホやPCをうっかり紛失してしまったり、退職の腹いせにPCを自宅に持って帰ったりするというものだ。外部からの侵入に対しては脆弱性対策として侵入の検知で対応、仕事用スマホやPCは防止策として暗号・アカウント管理を行うことが重要であるという。

そして考えておかなければいけないことに、スパイ対策があるそうだ。特権の管理や監視、システムアドに成りすました行為はチェックする必要がある。そして権限を持った内部の人間の犯行に最大の注意を向けなければいけないという。

「人間の記憶は消せない。1日10件くらいの個人情報なら覚えてしまう人はいる。単純計算で年間に3650件以上の記憶を持ち出されてしまう。」と内部犯行による情報漏えいの危険性を指摘した。対策としては、費用対効果を悪くしたり、懲戒内容を重くして割に合わないようにしたりする策で止める方法があるそうだ。

株式会社ラック 取締役西本逸郎氏

■セキュリティをわかりやすく正確に伝えたい
HASHコンサルティング代表取締役の徳丸浩氏は、1985年京セラに入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリ ケーションのセキュリティに興味を持ったそうだ。

2004年に同分野を事業化し、2008年独立してWebアプリケーションセキュリティを専門分野とするHASHコンサルティングを設立。以降、脆弱性診断やコンサルティング業務の傍らブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。

今回、“NO MORE情報漏えいプロジェクト”の監修を担当している。徳丸氏は、ややこしいセキュリティをどれだけわかりやすく正確に伝えるかを、プロジェクトが始まる前から重要な関心事としていたそうである。

2000年代に入り情報格差、デジタル・デバイドが叫ばれた頃は主に情報の量が問題であった。しかし、現在は、デマ、詐欺、低品質の情報がむしろ問題となっているという。質の高い情報をいかにして必要な人に届けるかといったことが難しい時代になってきたわけだ。

徳丸氏としては、“NO MORE情報漏えいプロジェクト”の場を借りて高品質な情報を提供したいという。従来の“悪い”セキュリティ解説の問題点としては「古い常識の劣化コピー」、「正確だが難解過ぎる」、「抽象的過ぎてどう行動したらよいのかがわかない」といった問題点があったという。

わかりやすく、伝わりやすい言葉でセキュリティ意識を高めて行くこと、現役のセキュリティコンサルタントの立場から、最新の具体的な行動指針を届けたいとしている。

HASHコンサルティング代表取締役 徳丸浩氏

発表会では、プロジェクト第一弾として発表する、スマートデバイスの資産管理・生産管理・盗難紛失対策を行うスマートデバイス管理ツール「LanScope An Free（ランスコープ アン フリー）」についての説明もあった。

LanScope An Freeは、盗難・紛失対策ツールだ。そしてセキュリティツール史上、国内初の無償提供となる。iOS、Android、Windowsスマートフォン・タブレットの紛失・盗難対策として「リモートロック（遠隔ロック）」「リモートワイプ（遠隔データ消去）」「パスワードポリシー」の3つの機能を搭載。また、LanScope An Freeのインストールや操作方法に関する問い合わせに無償で電話やメール対応できるサポート体制を構築しているという。

BYODでビジネスを便利にしようという流れにおいて必須なのが情報漏えい対策だ。絶対な安全は存在しないと意識しつつも自分の端末をビジネス利用したいと思っているのであれば、本プロジェクトのサイトでセキュリティの知識を得、さらにLanScope An Freeを導入して実際の被害を可能な限り防ぐ工夫をしてみることをおススメする。

■“NO MORE 情報漏えいプロジェクト” の特設サイト
■スマートデバイス紛失・盗難対策ツール“LanScope An Free”
■エムオーテックス株式会社

ここ数年で急激にスマートフォンやタブレットが普及したためインターネットが生活と密接につながり、簡単には切り離せなくなってきた。IoT（Internet of Things：モノのインターネット）により、ありとあらゆる機器がネット接続されるようになると、それぞれの機器でセキュリティ対策が必要になってくる。

IDやパスワードの使い回し、なりすまし、データロガー、キーロガー、スキミング、パスワードリスト型攻撃など様々な手法で、私たちのネット上の安全が脅かされている。その脅威はアナタの目の前まで迫っているかもしれない。そうした脅威に対するセキュリティ対策はどうなっているのだろうか？

そこで、日本におけるセキュリティの第一人者である、株式会社ディー・ディー・エス代表取締役社長三吉野健滋氏に、最新のセキュリティ事情についてうかがった。

第1回 マイナンバー制度に引き続き、第2回目は日本における最新のセキュリティについてだ。

■日本における最新のセキュリティは生体認証が中心
パスワードの入力は、読み取られてしまえば終わりだ。IDが漏れたとしても、本人しか入力できないパスワードがあれば、セキュリティを突破されることはない。しかし、キーボードを用いたパスワード入力は、撮影されたり、盗み見られたりしてしまうと万事休すだ。

IDとパスワードが正しければ、誰でもアクセスできてしまうのがネット上のサービスだ。これを特定個人だけに限定する方法として、進化してきたのが指紋認証によるログインだ。ただし、指紋認証も指紋をコピーされてしまい、フィルムや指の模型などを使われると突破されてしまう。そこで生きた人の指でなければ反応しない生体認証が注目されてきた。

三吉野氏によると、生体認証の技術そのものには非常に長い歴史があるそうだ。生体認証が最初にビジネスになったのは、AFIS（Automated Fingerprint Identification System）という仕組みで、警察用の指紋認証システムとして1960年代から使われている。国内では、NECの独壇場であるという。全盛期には約70%のシェアがあったというから驚きだ。そうした指紋認証が民生で使われ始めたのが1980年代からで、2000年くらいには静脈認証や、目の光彩（アイリス）による生体認証が登場している。

「90年代の後半から2000年代の初頭に、いくつかの方式が世の中に出てきたと思います。ただ、どれもあまり大きな市場シェアを取れなくて・・・。警察用の指紋認証システムは日本中に普及したのですが、その他の民生用の認証機器というのは、あまり普及を見ませんでした。」と、三吉野氏は当時を振り返る。

生体認証は、1980年代からペンタゴンのコンピュータールームのように重要な場所で使われているが、世の中にあまり普及していないため、ビジネスとして成功しているとは言えないそうだ。

その生体認証システムを身近にしてくれたのは、ハリウッド映画だろう。有名なものには、シュワルツェネッガー主演の「ターミネーター」シ」リーズ、トム・クルーズ主演の「ミッション：インポッシブル」や「マイノリティ・リポート」などがあげられる。いずれも重要機密を扱う場所へ入るのに生体認証と音声を組み合わせたり、静脈認証とパスワード入力を組み合わせたりといったシステムだ。

さて、そんな生体認証だが、国内では、金庫やドアの鍵、いくつかの指紋認証付きの携帯電話が2003～2005年あたりに発売されたが、そのまま下火になってしまった。それが昨年、iPhone 5sに「Touch ID」という生体指紋認証が搭載され、再ブームの兆しを見せつつある。最新のiPhone 6 / iPhone 6 PlusもこのTouch IDを載せてきている。

「指紋認証搭載端末は7～8億台、来年には10億台を超すと思います。それ以外の認証システムは、1億台は載っていないと思います。」と三吉野氏。

一番大きな理由はズバリ、コストだ。つまり、指紋認証が一番安いということ。もうひとつはリテラシー。指紋認証はセキュリティ技術として多くの人に認知されているので、誰でも不思議がったり、怖がったりせずに当たり前に使えるというのだ。

最近では、銀行で静脈認証付きATMを見掛けるようになったが、静脈を登録する手間が掛かるし、少額の引き出しでも静脈認証付きATMを使うのは、利便性の面からも不便なこと、この上ない。

ちなみに海外では、静脈の情報を管理者側に渡すことに抵抗感を持つ国も多いという。とくにヨーロッパでは、静脈はバイタルサインに直結するため、それを読ませるのは非常に危険というのだ。読み取り次第では低血圧・高血圧、心臓の鼓動の様子などを分析できるというのだから恐ろしい。

「たとえば、バイタルサインを読み取って体が弱っているとなれば、そのまま襲われる危険性があります。自分の体の情報を伝えるというのは、非常にリスキーだという考え方もあります。静脈のデータをそういうものに使うというのは、まだ一般的ではないわけです。」と、三吉野氏は静脈認証について教えてくれた。生体認証で指紋認証が普及しているのも、そうした理由もあるのだろう。

さて、生体認証はセキュリティ的に完璧なのかといった心配がある。

三吉野氏によると「すべてのセキュリティに、セキュリティホールがあって、完璧なものはない」とのこと。指紋認証は現在一番普及している生体認証だが、セキュリティ強度が高いかというと偽造が不可能ではないし、実際に多くの装置で偽造は可能だそうだ。

セキュリティの世界は、ユーザービリティとセキュリティ強度のトレードオフだという。セキュリティ強度を高めるためには、いろいろなセキュリティ手段を組み合わせれば良いが、ユーザービリティが低下する。面倒くさくなくて使える程度のものでないと、実際には使えないというわけだ。

たとえば、スマートフォンに4桁の暗証番号を入れるとか、ログインのIDやパスワードをまめに変えるとか。そうしたものは皆、ストレスを伴うため、実際には出来ないことが多いというわけだ。あまりに増えすぎたパスワードを管理しなければならなくなり、それだけで披露してしまう「パスワード疲れ」という言葉が最近では登場してきた。

生体認証について語る、株式会社ディー・ディー・エス代表取締役社長三吉野健滋氏

株式会社ディー・ディー・エス代表取締役社長 三吉野健滋氏
大学卒業後、数年間の証券会社勤務の後、平成7年に大学時代の友人達と起業。10年後の平成17年には東証マザーズへ上場を果たす。 産学連携により指紋の照合に関する独自技術を開発し、PC用の指紋認証機器の出荷台数において国内シェアトップ企業に成長させた。 主に企業、自治体、官公庁など大組織向けの指紋認証事業を展開。

■株式会社ディー・ディー・エス

■DDSに関連した記事をみる
・なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第1回 マイナンバー制度 ～