全国の自治体トップ・職員・議員に贈る 自治体の"経営力"を上げる情報サイト

世界的な無害化ベンダーが提唱 、情報セキュリティ対策の新標準とは

f:id:jichitaitsushin:20210908163111j:plain

スペシャリスト対談

世界的な無害化ベンダーが提唱 、情報セキュリティ対策の新標準とは

株式会社アズジェント プロダクト本部 技術営業部 シニアセールスエンジニア 日吉 崇之
オプスワット ジャパン株式会社 代表取締役社長 皆川 文哉
株式会社クオリティア 営業本部 フィールドセールス部 部長 辻村 安徳
[提供]株式会社クオリティア

※下記は自治体通信 Vol.33(2021年10月号)から抜粋し、記事は取材時のものです。


平成29年、現在の「三層の対策」を柱に、「ファイル無害化」などの新たな技術を導入し、抜本的に強化された自治体情報セキュリティ対策。そして今、対策の見直し議論が進むなか、新たな対策はいかにあるべきか。本企画では、メールセキュリティ対策大手クオリティアの辻村氏に、多くの自治体でも導入実績があるVOTIRO社の『VOTIRO Disarmer』を日本で展開するアズジェントの日吉氏、世界的なファイル無害化技術を搭載し、自治体にも導入が進む「OPSWAT MetaDefender Core」を開発・販売するOPSWAT JAPAN(オプスワット ジャパン)の皆川氏を交えた対談を実施。これまでの強靭化の取り組みを支えた専門家たちに聞いた、今後の自治体をめぐる情報セキュリティ対策のあるべき姿について、前後編に分けてお伝えする。

株式会社アズジェント
プロダクト本部 技術営業部 シニアセールスエンジニア
日吉 崇之 ひよし たかゆき
オプスワット ジャパン株式会社
代表取締役社長
皆川 文哉 みながわ ふみや
株式会社クオリティア
営業本部 フィールドセールス部 部長
辻村 安徳 つじむら やすのり

多くの自治体が抱える、無害化に対する不満

―見直し議論が進む情報セキュリティ対策をめぐり、現在の自治体の課題はどのようなものでしょう。

辻村 5年前から議論が始まった現状の強靭化対策を振り返るなかで、今ひとつの課題として浮上しているのが、前回の対策で導入が進んだ一部のファイル無害化エンジンの利便性に対する不満です。

 当社は、メール無害化を実現するメール転送エージェント(MTA)のベンダーとして、約400の自治体での採用実績をもっています。そこでは、ほかのベンダーの無害化エンジンと連携して活用している自治体も多いのですが、一口に「無害化」といっても、その性能は千差万別であるのが実情です。

f:id:jichitaitsushin:20210908171115j:plain

―詳しく教えてください。

辻村 たとえば、単に添付ファイルを丸ごと外しただけで「無害化処理」と謳っていたり、WordファイルをPDF化することを無害化と称したりしているケースもありますし、Excel内部のマクロを削除した結果、ファイルを壊してしまうケースもあります。こうした使い勝手の悪さに我慢を強いられている自治体は多いですが、一方で「もう少し高度な無害化を行いたい」というニーズが増えており、「無害化エンジンに『VOTIRO』や『OPSWAT』を使いたい」という声が自治体のなかから多く聞かれるようになりました。そこで当社では、標的型メール攻撃対策ソリューション『Active! zone(アクティブゾーン)』において、この4月から世界的なファイル無害化エンジンである『VOTIRO』と『OPSWAT』を実装できる体制を整えたのです。

f:id:jichitaitsushin:20210908171018j:plain

すべてのファイルを疑う、ゼロトラストの発想で開発

―そうした体制の構築には、どのような意義がありますか。

皆川 脅威の侵入経路の90%以上は、メールの添付ファイルと言われているわけですから、全国の自治体に広く採用されているクオリティアの『Active! zone』に、世界で高い実績を誇る無害化エンジンが連携することは大きな意味があります。当社の無害化エンジンは、ワールドワイドで広く採用されています。平成30年からは国内展開を開始し、自治体をはじめとする導入事例を積み上げてきました。当社のコンセプトは「ゼロトラスト」。つまり、いかなるファイルも信用しないという前提に立ち、すべてを疑う発想で開発されています。

f:id:jichitaitsushin:20210908171427j:plain

日吉 当社が扱う『VOTIRO』も、まったく同じ発想ですね。当社が日本に初めて『VOTIRO』を紹介した平成27年当時は、まだ無害化処理が普及する以前。ウイルス検知も一つひとつのファイルの危険性を判断するパターンマッチング型が主流でしたが、それでは防げない新種の脅威が増え、新たな対応が必要になっていました。そこで、ゼロトラスト発想の無害化ソリューションである『VOTIRO』に着目したのです。以降、現在までに750自治体に導入されていますが、ほかのエンジンを採用した自治体の声を聞くと、一部の無害化エンジンに対する不満は多いですね。はがされた添付ファイルを処理して持ち込むプロセスが煩雑だったり、無害化処理後の原本ファイルの再現性があまりに低くてファイル自体が使い物にならなくなったり。

皆川 USBメモリやCDなどを介し、目視チェックのみでファイルを庁内に持ち込んでしまうケースがあるのは、そうした一部の無害化ソリューションの煩雑さ、使い勝手の悪さが背景にあるかもしれません。

高い原本性が保持できる、「再帰的無害化」処理

―無害化処理とは、そのようなものではないのですか。

日吉 決してそうではありません。たとえば、我々のエンジンでは、「再帰的無害化」(以下、CDR*1という処理を行っています。この手法は、複数の要素が埋め込まれたファイルを分解し、それぞれを無害化したのち、ファイルを再構成して原本性を保つ無害化処理プロセスです。たとえば、WordファイルのなかにExcelのグラフが埋め込まれている場合。一部の無害化エンジンで処理を行うと、行政ネットワーク内でファイルを開いたときは、埋め込まれていたExcelのグラフが削除され、その部分が空白のまま表示されてしまいます。

 しかし、CDRの場合は、Excelのグラフは無害化されたうえ、Wordファイル内に戻されるため、高い原本性が保持できるのです。このCDR処理ができるか否かで、同じ「無害化」を謳うエンジンでも業務の生産性は大きく変わってきます。

f:id:jichitaitsushin:20210908171542j:plain

皆川 当社もまったく同じプロセスをとっています。Microsoft OfficeやPDF、CADファイルなど、世の中にはさまざまなファイル種が存在しますが、我々はそれらの開発元から、彼らのファイルに対するCDRシステムの開発許諾を得たうえで、ファイル構造設計書を入手しています。それらのファイルにおける本来のテンプレートに基づいて、要素を分解し再構成しているのです。もし、独自で各ファイルの構造を分析し、部分的な要素の分解・再構築を行ってしまえば、原本の再現性が不完全になります。

f:id:jichitaitsushin:20210908171721j:plain

理論上100%安全な、新しいアプローチ

―そのCDRができるかどうかが、自治体が求める「高度な無害化」のひとつの判断基準だと。

皆川 そのとおりです。この処理をゼロトラストの発想で、ファイルのすべての構成要素に対して行うことで、脅威を検知できるか否かではなく、潜在的な脅威自体をすべて無効にしてしまうことが重要となるわけです。

辻村 機微な個人情報を扱う自治体においては、情報セキュリティの安全性は99%では不十分で、100%でなければいけない。このCDRという技術は、理論値で100%安全なカタチでファイルを届けることができるもの。この情報セキュリティの新しいアプローチを我々3社の連携によって全国の自治体に広げていきます。


次号の後編では、ゼロトラスト対策が求められるこれからの時代に主流となるファイル無害化技術「CDR」を中核に、今後自治体はどのように情報セキュリティ対策を組み立てるべきかを考える。


日吉 崇之 (ひよし たかゆき) プロフィール
平成28年、株式会社アズジェントに入社。ネットワークセキュリティ分野に20年間携わってきた経験を活かし、現在は無害化とWeb分離を切り口に、自治体や文教、金融、医療、エンタープライズまで幅広く提案活動を行う。
皆川 文哉 (みながわ ふみや) プロフィール
国際航業株式会社にて情報センター長として社内のIT化を推進し、日経BP大企業システムで大賞を受賞(平成11年)。その後、SUN MICROSYSTEMSなどを経て、平成17年に米国のパケットキャプチャーベースのセキュリティシステムを扱うSOLERA NETWORKS JAPAN(現:BROADCOM)を設立、代表取締役社長CEOに就任。平成30年、OPSWAT JAPAN株式会社を設立、代表取締役社長に就任。
辻村 安徳 (つじむら やすのり) プロフィール
平成14年、日系IT商社へ入社。メールアプライアンスやメールセキュリティなどのメーカーを経て、平成28年より現職。一貫してメール業界に身を置き、全国の自治体・大学から企業まで幅広くユーザーとの会話を大切にし、そのなかから市場を分析・予見し、開発に反映させる。
株式会社クオリティア
設立 平成5年10月
事業内容 メッセージング関連ソリューションの開発・システム構築など
URL https://www.qualitia.co.jp/
お問い合わせ電話番号 03-5623-2530 (平日9:30〜18:30)
お問い合わせメールアドレス active@qualitia.co.jp

*1:※CDR : Content Disarm and Reconstructionの略。