デジタルトランスフォーメーション(DX)によって既存事業の変革が進んでいる。経済産業省も2018年12月に経営者が抑えるべき事項をまとめた「DX推進ガイドライン」*を公表しており、民間企業のDX推進を後押ししている。まさに今は「DX時代」である。しかし、アプリの不正利用や、プライバシー情報の漏洩など、DXに早々に取り組んでいた先進企業からのセキュリティ事故の報道は後を絶たない。*https://www.meti.go.jp/press/2018/12/20181212004/20181212004-1.pdf
なぜこのような事故が発生するのか?DXの現場ではどのようなことが起こっているのだろうか?そして、企業がDX推進をする上で留意すべきセキュリティのポイントとは何なのか?
DX分野におけるセキュリティのプロフェッショナルであるNRIセキュアの齋藤と吉村に話を聞いた。
DXに関連したセキュリティ事故とは?
――― 近年、DXの推進により発生したセキュリティ事故が大きく報道されています。DXのセキュリティ事故にはどのようなものがあるのでしょうか?
齋藤 DXに関連するセキュリティ事故は大きく2つに分類することができます。それは、「サービスを悪用されてしまった事例」と「サービス内容が炎上してしまった事例」です。
「サービスを悪用されてしまった事例」の代表的なものとして、QR決済に代表されるオンライン決済のセキュリティ事故の事例が挙げられます。盗難したクレジットカード情報の「出口」としての利用や、他人のアカウントにログインして上での不正利用などです。直近でも大きな事件報道があり、印象に残っている人たちも多いのではないでしょうか。
2012年野村総合研究所に入社、直後にNRI セキュアテクノロジーズに出向し、数多くの情報セキュリティ関連プロジェクトに従事する。海外トレーニー制度による1年間の北米での研修を経て、現在、社内CSIRT構想コンサルティング、社内CSIRT運営改善支援コンサルティング、等、主に企業のサイバー攻撃対応を支援するセキュリティコンサルタントとして、日々の業務に邁進している。
齋藤 サービス悪用の事例は、大きく3つのパターンに分類できます。
- <デジタルサービスの”悪用”の3分類>
- ① 他人の信用情報を紐付けて利用するもの
② 他人のアカウントを乗っ取るもの(なりすまし)
③ 「悪用するためのアカウント」を作成して悪用するもの
盗難クレジットカードを利用されるケースはパターン①、他人のアカウントを乗っ取って利用されるケースはパターン②となります。また、あまり大きな報道にはなっていませんが、最近になって意外と増えてきているのがパターン③の事例です。サービスの「ビジネスロジック」の穴をついた悪用や詐欺がそれに該当します。各社からオンラインで色々なサービスが提供され始めているため、その特性を突いた攻撃が増えているのです。
例えば、損害保険に関する事例があります。昔から海外旅行保険の保険金詐欺など、「支払い条件が満たされているかを立証すること」が難しいような保険商品に対する詐欺は存在していました。そして、従来は、保険の契約や保険金の支払いなどの場面で、担当者が直接「対面」で応対するのが一般的でした。これが詐欺行為の未然防止につながっていたのです。しかし、近年では、「オンライン」で全て完結するようになっているため、架空の事故を申請して、保険金をだまし取るという事例が増えてきています。
その他にも、購入者が「評価」を行うことが可能なECサイトで、架空の評価を大量に投稿して評判の良い商品に見せかけたり、「友人を紹介すること」が条件で配布されるクーポンを大量に獲得したりといった事例が存在します。
いずれも、これまでリアルな世界でおこなっていた作業が「オンラインで処理できるようになったこと」、そしてそこに「新たな価値を付けたこと」に起因して発生した犯罪です。このようなことが発生しうるということを、DXで生み出されるデジタルサービスでは考慮しなければいけないのです。
齋藤 「サービス内容が炎上してしまった事例」の代表的なものには、「プライバシー情報」の取り扱いが上げられます。ユーザのプライバシー情報にもとづくロジックなどのデータを他社に提供して炎上した事例があります。
また、プライバシー情報の漏洩などによる事故の懸念も増えています。例えば、今ではモバイルアプリで「位置情報」を収集していたり、宅配事業者などが提供しているアプリなどでは「自分が不在にしている時間」などを入力したりするケースもあります。
そのようなアプリから情報が漏洩した場合は、「自宅の正確な位置」や「自分が不在にしている時間」などが、悪意を持った人間に知られてしまい、犯罪に利用される可能性も出てくるのです。
デジタルサービスの開発現場では何が起こっているのか?
――― 実際にデジタルサービスを開発している現場ではどうやってプロジェクトを進めていて、どんな課題があるのでしょうか?
齋藤 これまでの「ITプロジェクト」は全社のIT部門やセキュリティ部門が主導で進めていました。しかし、「DXプロジェクト」は違います。事業部門などでビジネスそのものを企画しているような人たちが、試行錯誤をしながらサービス開発をしているのです。
そして、このようにDXプロジェクトの現場でサービス開発をしている、いわゆる”企画畑”の人たちは「セキュリティ」の観点での課題意識をもっていないことが多いです。
「リリース前にセキュリティ診断を受けるから大丈夫」とか「リスク管理部門のチェックリストで確認したから大丈夫」といったように、「サービスのセキュリティを担保するのは自分たちの業務ではない」と、セキュリティを他人事として捉えていたりするケースがあります。
――― そのように現場がセキュリティを軽視していた場合には、どんな事態が起こるのでしょうか?
吉村 サービスのプロセスやスキームなど、サービスの仕様のレベルで「穴」ができる可能性が高まります。アプリケーションの脆弱性などではなく、サービスの仕様としての「穴」です。
例えば、物理的な鍵の代わりに、自分のスマホのモバイルアプリを使って、スマホをかざすだけで鍵の開錠ができるような仕組みを作ったとしましょう。非常に便利な仕組みだと思いますが、仮にそのモバイルアプリを、他の端末でもID・パスワードが分かれば使える仕様にしていたり、本人に気付かれずにパスワードをかんたんに変更できたりしたらどうでしょう。他人のスマホでも、物理的な鍵をたやすく開錠できてしまう、という状況が発生してしまうのです。
DXによって、色々なチャネルとデバイスを使って、サービスを提供するケースが増えています。サービスを利用する際には、ユーザの「認証」や「認可」は不可欠な要素ですが、これらは従来のWEBアプリケーションの仕組みの延長線上で考えていてはダメです。サービスのユースケース全体を考えて、多様なチャネルやデバイスから利用されることを、きちんと考慮しておく必要があるのです。
2008年 大手SIerにて数多くのセキュリティシステム設計・構築・運用に従事。2019年 NRIセキュアに入社、デジタルサービスに関するセキュリティコンサルティング業務を担当。専門領域は、認証/認証連携基盤システムの設計・構築・運用、秘密鍵管理システムのセキュリティリスク分析、各種プロジェクトマネジメントなど。
デジタルサービスでセキュリティ事故が発生する原因
――― DXによって生み出されたサービスでこのような事故が発生する「原因」とはなんでしょうか?
齋藤 多数あると思いますが、大きく分けると3つになると思います。それは、「仕様段階でのセキュリティ意識の欠如」、「認証・認可機能の”自前”開発」、「縦割り組織による”ポテンヒット”」の3つです。
- <デジタルサービスにおけるセキュリティ事故の3つの原因>
- ① 仕様段階でのセキュリティ意識の欠如
- ② 認証・認可機能の”自前”開発
- ③ 縦割り組織による”ポテンヒット”
齋藤 ①については先ほども触れましたが、ビジネスを企画する段階でセキュリティ意識が欠如していると、ビジネスロジックやサービスの仕様の部分に「穴」ができてしまいます。ビジネスを立ち上げる際には、企画の段階からきちんとセキュリティを組み込まないといけません。
吉村 ②の認証・認可機能に関する「穴」も非常に多いです。お客様のデジタルサービスの開発現場でリリース前のアプリなどを見せていただくと、認証・認可周辺にサービスの「穴」があることがよく見られます。その場合は、サービス全体の改修にまで波及してしまい、場合によってはサービスを一から作り直さないといけないようなケースまであります。
――― 認証・認可機能の「穴」とは、例えばどのようなことでしょうか?
吉村 「認可」は、適切なリソースへのアクセス制御を実現する機能です。この機能に「穴」があると、適切なアクセス制御ができないので、本来アクセスさせるべきではないコンテンツやリソースにアクセスできる権限が付与されたり、そもそもの認証自体をバイパスしてアクセスすることができたり、といった事態が起こります。
また「認証」については現在、多要素認証やリスクベース認証、FIDO(Fast IDentity Online)といった、強固な認証技術が登場しています。それにも関わらず、これらの技術の導入が間に合わず、最近取りざたされている”リスト型攻撃”などにさらされる懸念があるサービスも散見されます。
今はサンプルのコードなどがインターネットを通じて入手しやすくなっているため、「ただ動くもの」であれば、自前で開発することのハードルが低くなっています。しかし、認証・認可機能だけは別です。この部分の開発は非常に複雑なのです。グローバルで標準的な仕様にのっとって、セキュリティを考慮した実装をするのは「知見」と「ノウハウ」が必要となります。
吉村 安易に認証・認可機能にカスタマイズを加えることで、セキュリティホールを作ってしまうケースもあります。したがって、開発メンバーにノウハウが無い場合には、自前で開発することにこだわらずに「アウトソース」や「パッケージの調達」という選択肢を検討した方がいいでしょう。
今では、グローバルで標準的な仕様に準拠した認証・認可機能をパッケージとして調達することが可能です。このような「外部のナレッジ」を柔軟に取り入れるという姿勢が、デジタルサービスのリスクを下げるためにはとても重要です。
齋藤 原因③の、「縦割り組織」によって発生する事故も多いです。デジタルサービスの領域では、既存システムとの連携や、外部の事業者との連携なども多数あり、「関係者が多い」という特徴があります。
したがって、「ここから先は自分たちの領域ではない」などの縦割り的な発想になってしまったり、他のサービスに影響が出るような対策がしにくかったりと、関係者間でセキュリティ対策の「ポテンヒット」が発生することがあるのです。
特に二段階認証の導入など、ユーザの操作性とセキュリティがトレードオフになるような対策や、他のサービスへの影響が大きい対策については、組織の壁を乗り越えて意識を統一しないと実装できないことがあります。
これらの事態には、サービス全体で組織的に対処していく必要があるでしょう。
DXプロジェクトの立ち上げで、留意すべき点
―――今後デジタルサービスを立ち上げる企業は、どのようなことに留意すればよいのでしょうか?
齋藤 前述のセキュリティ事故が発生する「3つの原因」をつぶしこんでいくような仕組みを作ることが重要です。
仕様段階でのセキュリティの穴を作らないために、有識者を入れてユースケースの分析をする、あるいは海外で同種のサービスの事故事例がないかを調査する、といったことが考えられます。アプリの開発を始める前から、セキュリティを意識してサービスの仕様を考えていくことが重要です。
吉村 サービスの企画段階から認証・認可機能を意識した設計ができるかがポイントになります。デジタルサービスで、多様なチャネルやデバイスからのユーザを受け入れるためには、この認証・認可機能でセキュリティの「穴」を作らないように、しっかりとグランドデザインを持って開発していくことが重要です。また実装の段階では外部リソースの活用も視野に入れるべきでしょう。
齋藤 そして、関係者の間でセキュリティのポテンヒットを出さないためには、組織設計も重要になります。サービス全体でセキュリティを組織横断的に「横串チェック」できるような仕組みが必要になります。
これについては、2つのモデルがあります。デジタルサービスを開発・運営する各事業部門にセキュリティのプロフェッショナルを配置して、必ずその人がチェックをするような仕組みにする「地方分権型」です。実際に、デジタルサービスを提供している有名企業でもこの組織モデルを取り入れている事例があります。
しかし、セキュリティ人材は不足しがちなので、各事業部門にセキュリティのプロフェッショナルを配置できないようなケースもあると思います。そのような場合は、全社部門にセキュリティのプロフェッショナルを配置して、各事業部門のDXプロジェクトのセキュリティに関する仕様を組織横断的にチェックする「中央集権型」が適しています。
いずれにしてもデジタルサービスのリスクを低減していくためには、セキュリティ人材の貴重なリソースを有効に活用できるような組織設計が必要になります。
――― NRIセキュアではDXセキュリティの分野でどのようなサービスを提供しているのでしょうか?
齋藤 デジタルサービスの立ち上げに際して、仕様の段階からコンサルタントが参画して、各種情報提供をおこなうなどの支援メニューがあります。
一部のお客様には先行してご提供していましたが、2019年8月より「デジタルサービス向けリスク分析支援」という名称で正式にサービスをリリースしました。DXが全盛の今、とても注目を集めており、各所よりお引き合いをいただいています。
吉村 デジタルサービスの認証・認可に関する各種機能を提供する「Uni-ID Libra」というパッケージも提供しています。Uni-ID Libraを使うことで、色々なチャネルやデバイスからのログインを、安全かつ安価に実現ができます。「カスタマーエクスペリエンス」と「セキュリティ」の両方を一気に向上させることができるサービスです。
本サービスは以前よりご提供していたのですが、昨今のDXの高まりで、コンシューマ向けサービスの認証・認可の関して、リスクベース認証やFIDOなどの多様なニーズに応えられるという点をご評価いただき、さらに注目していただけるようになりました。
顧客向けWebサービスのID・アクセス管理ソリューション Uni-ID Libra
おわりに
DXとは、ただ単純に業務を「ITで効率化する」というものではなく、ビジネスそのものを「デジタル技術で変革」していくことである。
DXによって生み出されるデジタルサービスは、利用者の生活を一変させるような「利便性」をもたらす。しかし、その利便性は強固なセキュリティによる「安全性」とセットになっていなければ意味がない。今後、日本企業のDXの取り組みの成否は、「セキュリティ」が鍵を握ることになるだろう。
<参考:NRIセキュアのデジタル・セキュリティ関連サービス>
顧客向けWebサービスのID・アクセス管理ソリューション Uni-ID Libra