週間情報通信ニュースインデックスno.1275 2021/05/08


1.VPN狙うサイバー攻撃で露見、「SIer任せ」で既知の穴ふさがぬ日本企業(5.6 日経XTECH)
セキュリティー対策機器大手の米Fortinet(フォーティネット)の製品を巡り、脆弱性を突くサイバー攻撃が相次ぎ問題となっている。ただし、攻撃に使われたのは1年以上前に既知の脆弱性で、修正プログラムも提供済み。脆弱性対策のバージョンアップにさえも消極的な日本のユーザー企業が、被害拡大の一因となる構図が浮き彫りとなった。

 「日本企業はあまりソフトウエアのバージョンアップをしたがらない」。フォーティネット日本法人、フォーティネットジャパンの西沢伸樹副社長兼マーケティング本部長はこう指摘する。

 複数の米政府機関を含む多数の組織において、2020年末ごろからセキュリティーを侵害された問題が相次いだ。この問題を巡り米国政府と英国政府は2021年4月15日、ロシアの対外情報局(SVR)の関与があったと明らかにした。米国はロシアの外交官10人の国外追放などを発表している。

 米国家安全保障局などは「SVRは公によく知られた脆弱性を利用して攻撃を仕掛けた」として、これらの製品のユーザーに対策を呼びかけている。米SolarWinds(ソーラーウインズ)のネットワーク管理ソフトなどと並び、脆弱性に注意すべき製品の1つに挙げられたのが、フォーティネットのVPN製品「FortiGate」だ。

 とはいえこの脆弱性は、同社にとっては過去の話だった。同社が脆弱性の存在を認知したのは2018年12月のことだ。台湾のセキュリティーコンサルティング企業DEVCOREのセキュリティーリサーチチームに属する、メー・チャン氏とオレンジ・ツァイ氏が発見し、フォーティネットに通知していた。同社が脆弱性を修正したFortiOSをリリースしたのは翌2019年4〜5月のことだ。

 日本法人のフォーティネットジャパンはエンドユーザーに直接販売することはなく、パートナー企業を通じて製品を販売している。日本法人は修正版FortiOSのリリースと同時に、パートナー企業へ通知。パートナー企業を通じて、該当するFortiOSを利用するエンドユーザーに対してアップグレードを、直ちにアップグレードできない場合はワークアラウンド(応急措置)を依頼した。

 一件落着かと思われたこの脆弱性が再び脚光を浴びたのは2020年11月のことだ。ダークウエブ上のハッカーフォーラムなどで、古い脆弱性を放置したままのFortiOSを使っているFortiGateのIPアドレスのリストが公開されていることが発覚した。リストは約5万台分に上り、大企業も含まれていたといわれる。

 日本法人はパートナー企業に注意喚起するとともに、公開されたリストのIPアドレスを解析。日本のエンドユーザーのうち、社名と連絡先が判明した顧客に直接連絡し、FortiOSのアップグレードまたはワークアラウンドを依頼した。

2.「ゼロトラスト」の次はこれ、マイクロソフトが注力する2つのセキュリティー技術(5.7 日経XTECH)
ゼロトラストに続くセキュリティーの注目技術は「パスワードレス」と「コンフィデンシャルコンピューティング」になりそうだ。クラウド大手である米Microsoft(マイクロソフト)の最近の発表からは、そんな傾向が浮かび上がる。

 マイクロソフトは2021年3月2日(米国時間)に開催した自社イベントの「Microsoft Ignite」で、同社のIDプラットフォームである「Azure Active Directory(AD)」において「パスワードレス認証」の一般提供(GA、Generally Available)を始めたと発表した。

 パスワードレス認証とは文字通り、パスワードを使用しない認証手法だ。ユーザーはWebアプリケーションなどにログオンする際にIDだけを入力し、パスワードは入力しない。代わりにマイクロソフトのスマートフォン向け認証アプリの「Microsoft Authenticator」やWindowsパソコンで利用できる生体認証機能の「Windows Hello for Business」、FIDO2規格に対応したセキュリティーキーを使って認証する。

 例えばこのうちAuthenticatorを使う場合は、ユーザーがWebアプリにIDを入力すると、スマートフォンのAuthenticatorにログオンに関する通知が送られる。ユーザーがAuthenticatorで「承認」をタップし、指紋認証や顔認証などによる本人確認を済ますと、Webアプリへログオンできるようになる。

 マイクロソフトはこれまでも自社サービスである「Microsoftアカウント」などにパスワードレス認証を実装していた。今回、IDプラットフォームであるAzure ADにも展開した。これにより、ユーザー企業は社内アプリの認証基盤にAzure ADを使用すれば、社内アプリへのログオンでパスワードレス認証を実現できるようになった。

 マイクロソフトでAzure ADのプロダクトマーケティング担当ディレクターを務めるIrina Nechaeva(イリーナ・ネチャエワ)氏はMicrosoft Igniteの基調講演で「脆弱なパスワードは企業の防衛システムにおける最も脆弱な穴になる」と指摘する。ユーザー企業がどれだけ厳重に認証システムを防御しても、ユーザーが同じパスワードを他のシステムでも使い回せば、他のシステムからパスワードが漏洩しかねない。

 それに対してパスワードレス認証では、認証サーバーにユーザーのパスワードや生体認証データを登録する必要が無い。ユーザーの本人確認をするのは認証アプリなどの認証器であり、認証サーバーには認証器が生成した公開鍵だけを登録する。ユーザーのログオン時には、認証サーバーと認証器が公開鍵暗号方式による電子署名を使用して互いの正当性を検証する。

 パスワードを使わないので、パスワードが流出する危険は無い。しかもユーザーが他のシステムで使用するパスワードなどが流出しても影響を受けない。マイクロソフトのネチャエワ氏は「パスワードレス認証は最も強力な認証手段だ」と強調した。

3.NTT東日本が都内で加入電話の着信一時制限、ワクチン予約影響か(5.6 日経XTECH)
NTT東日本は2021年5月6日、東京都全域で午前9時から加入電話の着信制限を実施したと明らかにした。利用者の通話が増え、警察や消防といった緊急通報がつながらなくなることを避けるための措置だ。混雑が緩和したエリアから解除し、午前11時43分までに全域で解除したという。

 NTT東日本は「通信の秘密」により通話の内容を知り得ない立場にあり、通話が急激に増えた原因は分かっていない。ただ、新型コロナウイルスのワクチン接種に関する電話の予約や問い合わせの受け付けが、大型連休前後から都内の複数の自治体で始まっており、この影響ではないかとの見方が浮上している。

 着信制限は大規模災害の直後などにかかることが多い。NTT東日本は着信制限の基準を公表していないが、通信設備は常に余裕を持たせてあるという。

4.RPAとERPの組み合わせが生産性を上げる、有識者が語る業務DXの心得(4.30 日経XTECH)
業務の「超自動化」や効率化を実現するため、デジタルトランスフォーメーション(DX)に取り組む企業が増えている。その有力なITツールの1つが、RPA(ロボティック・プロセス・オートメーション)である。日経BP 総合研究所 イノベーションICTラボが2021年3月17日に開催した「ITイノベーターズ会議」では、大手RPAベンダー2社のキーパーソンが講演した。そこでの注目発言を見てみよう。

 「RPAツールを活用した、基幹系システム周辺部分の自動化が、より重要性を増す」。RPA業界で大手の一角を占める米UiPath日本法人の鈴木正敏取締役は、こう明言する。基幹系システムを改修しようとすると、時間とコストがかさむケースは少なくない。利用部門の自動化ニーズは高いものの、基幹系システムの機能追加・変更が難しい領域に対し、RPAツールを積極的に導入し、自動化を迅速に進めようということだ。

 先進事例の1つとして、鈴木取締役は三井情報を挙げる。同社は独SAPのクラウド型ERP(統合基幹業務システム)で基幹系システムを刷新するのに合わせ、UiPathのRPAツールで周辺業務を自動化。ERPとRPAの役割を明確に定義したことにより、短期間でプロジェクトを完遂したという。業務の超自動化を進めるには、ERPとRPAの両方を上手に使いこなすことが重要といえそうだ。

 RPAツールを提供する英Blue Prism日本法人の長谷太志社長は、社内に導入したRPAツールのガバナンスの重要性を説く。「これまで人事や経理部門などが個別に進めていたRPAの導入プロジェクトを集約し、全社的な視点でガバナンスをきっちりと利かせることが、今後重要になる」(長谷社長)。RPAツールの利用範囲が拡大してきた昨今、RPA導入は個別最適から全体最適の段階へと移るとみる。

 RPA導入を巡っては、野良ロボット(管理者不在のRPAロボット)が増え、システム管理や業務遂行に悪影響を与えるリスクがある。Blue Prismは野良ロボットを生み出さないため、個別最適ではなく全体最適の視点でRPAを導入しやすくする、サーバー型のRPAツールを強化しているという。RPAの利用範囲が拡大している企業は、統合管理機能に強みを持つRPAツールを選択することが賢明といえそうだ。

5.5Gミリ波の通信速度はSub-6の16倍高速 Qualcommより(5.6 ITmedia)
米Qualcommは、5月4日(現地時間)に5Gミリ波の通信速度がSub-6のみと比較して16倍高速であると発表した。一般ユーザーが商用端末を用いて行った「Ookla Speedtest Intelligence」のデータによる。

 ミリ波は米国や日本の主要な通信事業者が提供しており、欧州、東南アジア、オーストラリア、中南米、中国でも導入を予定。チップセット「Snapdragon Mobile Platform」では8シリーズから4シリーズでミリ波をサポートしている。

 グローバルモバイルサプライヤー協会(GSA)によれば、100機種を超える5Gミリ波デバイスのほぼ全てがSnapdragonを搭載。同社の高出力ミリ波ソリューションを含めた「Qualcomm 5G Fixed Wireless Access Platform」搭載デバイスは多くの地域でギガビット通信に対応し、5G対応モデム「Snapdragon X65 Modem-RF System」は世界初の最大10Gbpsを実現したという。

 ホームページへ