(この記事は米国 Tech Page One ブログの抄訳です。オリジナルはこちらからご覧いただけます。)

セキュリティ侵害の被害を回避・低減するには、ベストプラクティスを実践し、効果的な対応プランを整える必要があります。

Ritika Puri - Tech Page One 2014年4月22日

ガソリンスタンドの給油機やパーキングメーター、その他の類似デバイスは、消費者がガソリンやその他の製品・サービスを購入するとき、クレジットカードなどを使って簡単に料金が支払える仕組みとなっていますが、これらにも多くの危険が潜んでいます。昨年、米ミネアポリス - セントポール (ツィンシティ) 地域のガソリンスタンドで、900 人のカードアカウントが侵害される不正アクセス事件がありました。

 「接続されるシステム数が増えることで、リアルタイムなモニタリング、より効率的な電気管理、データ分析を可能にしてくれますが、同時にプライバシーのリスクも増大します」 (Machine-to-Machine Intelligence Corporation、CEO、Geoff Brown 氏)

このツィンシティ事件では、カリフォルニア州のカップルがデータ盗難装置をガソリンスタンドの給油機に設置した容疑で起訴されましたが、本件をきっかけに、こうした支払機の脆弱性が浮き彫りになりました。このデータ読み取り装置は Bluetooth 対応で、サイバー犯罪者がリモートから情報を盗めるようになっていました。

ブリマス警察署 Dareen McGann 刑事の談話によると、「この装置は、給油機とほとんど同じコンポーネントから作られていた」とのこと、「実際に給油機の扉を開けて調べない限り、この装置を発見することは無理でしょう。」 (出典: Twin Cities 版 Fox 9.com 掲載の記事)

これ以外にも、犯罪者にとって有利と考えられる点があります。それは、給油機を製造しているメーカーが 2 社しかなく、どちらのメーカー製の給油機も開けられる共通の鍵が存在することです。

ガソリンスタンドの給油機やパーキングメーターがこのように物理的に「オープン」なため、その分、安全性を守ることが難しくなります。しかし、企業には、データ盗難を防ぐ手立てがあります。


「標準」より先を見据える

確かに、どんなに鉄壁のシステムでも、ハッカー達は脆弱性突破の方法を必ず探し当ててしまいます。つまり、標準は絶え間なく古くなっていくということです。

対脅威ソリューションを提供している Netcitadel 社のシニア脅威リサーチャ、Duane Kuroda 氏によると、ガソリンスタンドの給油機やパーキングメーターの所有者は、他業種のサイバーセキュリティ対策と同類のベストプラクティスに従えば、リスクを減らすことができるとのこと、さらに、これらのデバイスから生成されるデータを監視することも重要、と言います。

「既存のシステムを『きちんと予防』し、インターネット接続システムへのアクセスを直接提供しないようにすれば、必ずしも新しい方策は必要ないでしょう」とのことです。しかし、次のようにも付け加えています。「攻撃者達は非常に先進的です。侵害とは起きるものなのです。」

事態を悪化させているのは、接続されるシステム数が増え続けているために、最も安全なシステムが内部の脅威にさらされてしまうことです。

「接続されるシステム数が増えることで、リアルタイムなモニタリング、より効率的な電気管理、データ分析を可能にしてくれますが、セキュリティとプライバシーのリスクを呼び込む原因にもなります」と言うのは、Machine-to-Machine Intelligence (M2Mi) Corporation の CEO、Geoff Brown 氏です。同社は、サイバーセキュリティ、インフラオートメーション、国際通信バンド幅サービスを統合する企業です。

 

ネットワークアクセスの制限

ガソリンスタンドの給油機やパーキングメーターは、データ泥棒にとって容易な侵入ポイントとなっており、ここから、もっと多くのデータシステムやネットワークにアクセスしようとします。したがって、従業員に脆弱性についての教育を行うこと、そして、情報への不正アクセスを食い止める関門を設けることが大切です。

Kuroda 氏は、「不正アクセスを防止する手段が 3つある」と言います。「それは、暗号化、ID アクセス管理、ネットワークアクセス制御です。」

暗号化は、生成されたコマンド、入力されたクエリー、使用されたキーを隠すことができます。ID アクセスは、然るべき対象者だけが情報を見られるようにします。ネットワークアクセス制御は、ユーザが過って本来の軌道から外れたり、未許可の変更を加えたりしないよう防護できます。

「最大の問題は、そして、昔からの変わらぬ課題は、人為的ミスです。ユーザがクリックしてはいけないリンクをクリックしてしまったら、システムは侵害の危機にさらされます。」 (Kuroda 氏)

 

対応策の整備

万が一、セキュリティ侵害に見舞われても、緊急対策プログラムを整えておけば、企業の損害を低減することができます。

「自動化された事故対策システムは、今や市場のヒット商品です。これらは、検出された脅威を自動的にロックダウンするもので、重要な防衛線となります。」 (Kuroda 氏)

これらのシステムは、異常事態を判別できるようにプログラムすべきです。

「侵害の検出と対応には、新しいアプローチが必要になるかもしれません。たとえば、特権ユーザアカウントの異常な挙動から侵害の可能性を検出→自動化された事故対応システムがロックダウンを発動→セグメントを再構成→侵害箇所を封鎖する、といった仕組みです。」 (Kuroda 氏)

Brown 氏は、経営者達に、ガソリンスタンドの給油機やパーキングメーターのようなエンドポイントデバイスそのものより、データセンターの方に目を向け、そちらの保護対策を強化するよう勧めています。

「データセンターの安全対策を、対応する各種のネットワーク経由で確立できるようなソリューションなら、エンドポイントデバイスの安全性も自ずと高まります。ほとんどのソリューションは、ネットワーク経由で接続するエンドポイントデバイスの方から対策を講じ、そこからデータセンターに辿り着きますが、一般にこのセキュリティモデルは強力とは言えません。それは、企業データセンターのセキュリティコンプライアンスのうち、最も難しい部分がなおざりになるからです。」 (Brown 氏)

 

デルのセキュリティソリューションに関するお問い合せは
こちらからご連絡ください。