「侵入前提の対策」をうんぬんする前に検討を――始点と終点をしっかり抑えることがセキュリティ対策のポイントに：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。

[高橋睦美，ITmedia]

SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏

　SBテクノロジーのプリンシパルセキュリティリサーチャー、辻伸弘氏は、「攻撃する側の目」から、顧客のシステムを見つめ、どう改善していくかを共に考えるセキュリティ業務に携わる傍ら、さまざまな記事やセミナー、Podcastを通して「どうすれば被害を防げるのか」に正面から取り組み、情報を発信している。

　そんな辻氏の今回の講演タイトルは「セキュリティ起点・終点 侵入前提の前提と侵入前提の話」という、ちょっとややこしいものだ。サイバー攻撃に限らず物事には始まりと終わりがある。辻氏は、侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。

そんなずさんなシステムはまれ？　それともよくあること？

　世の中ではさまざまなセキュリティインシデントが起こり、報じられている。辻氏は、起点でなすべきことを考える前提として、それらの中から2つの事例を紹介した。

　1つ目は、東海国立大学機構で発生したランサムウェア被害で、報告書も公開されている。統合認証システムが被害を受けてランサムウェアに感染したほか、最大で約4万人分の個人情報が漏洩した可能性があるというインシデントだった。アクセスログの確認からパスワードの総当たり攻撃を受けていたことが判明したが、より根本的には、設定ミスによってネットワークアクセス制御がうまく働いていなかったことが原因だった。

　「このケースには2つポイントがあります。1つはランサムウェアの感染に気付けなかったこと。本来ランサムウェアは、金銭を要求する脅迫文の表示や、さまざまなファイルを暗号化したりと被害環境の見た目の変化が派手なため

　感染に気付きやすいのですが、システム管理側が自ら気付くことができませんでした」（辻氏）。たまたまパスワードを変更しようとして変更ができなかったエンドユーザーからの問い合わせによって、発覚した。

　もう1つのポイントは、設定変更の不備に気付く術がなかったことだ。「本来、不正アクセスを受けた経路は閉じられていたのですが、メンテナンスの際に、作業を請け負っていた会社の認識誤りで設定が変更され、全ての通信が素通しになってしまいました。しかも、この設定変更が行われたのは不正アクセスが起きる2カ月前で、その後2カ月間ずっと、不要な通信を許可していたことに気付きませんでした」（辻氏）

　こう説明されると、非常にずさんでまれなケースに思えるが、辻氏によると、決して珍しくなく、意外とよくあるケースだという。

　2つ目の事例は、起点を考える上で参考になるインシデントで、Cisco製品のWebベースの管理インターフェイスに存在するCVE-2023-20198とCVE-2023-20273という2つの脆弱性だ。この2つの脆弱性を組み合わせることで、外部から特権アカウントを作成し、さらにはログインして設定変更や内部侵入などのさまざまな操作が行えてしまう。

　問題は、そんな脆弱性が思った以上に放置されていることだ。「本来ならば外部に公開する必要のない管理画面を開けているケースがあるのかと思う人もいるかもしれませんが、Shodanで検索すると、11月26日の時点で11万3023件の管理画面が外部からアクセスできる状態でした。また、VulnCheckという会社が調べた範囲では、数千のホストにこの脆弱性が存在していたそうです」と辻氏は述べ、意識しないまま外部に経路を公開してしまっている環境が想像以上に存在することを再認識してほしいとした。

決して新しい概念ではない「ASM」の徹底で、攻撃の始点を抑える

　自分たちはきちんと設定しているつもりなのに、実は設定ミスがあったり、外部からアクセスできる状態で運用してしまっていたり――そんな状況を改善する鍵が、「アタックサーフェイスマネジメント」（ASM）だ。外部から攻撃を受ける可能性のある箇所を自分たちで把握し、攻撃に悪用される前に先回りして対処する、つまり攻撃の「始点」を根本的に止めてしまおうという考え方だ。

　ASMについては、複数の組織が定義付けを行っている。例えば経済産業省は「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を公表し、「組織の外部、インターネットからアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出、評価する一連のプロセス」と定義している。米NISTはもう少し幅広い定義とし、インターネットからに限らず、さまざまなネットワーク経路からアクセスできる部分を対象としている。

　こうした定義を紹介した上で辻氏は、「ASMとは、要は攻撃可能なIT資産とその状態のことを指しています。それらを検出、評価、選別、修正するプロセスおよびサイクルのことであり、一度きりではなくずっとこのサイクルを回し続けるというものです」とまとめた。

　このASMで管理すべき対象は、「IT資産」「アクセス制御」「脆弱性」の3つのカテゴリに分けることができる。

　1つ目のIT資産は分かりやすいだろう。どのIPアドレスでどんなマシンが動いており、そこではどんなOSやアプリケーションが動いているかを把握する、というこれまで通りのプロセスだ。その上で、そうしたIT資産それぞれについて、ポートを開けてインターネットに公開する必要があるのかどうか、限られたユーザーのみに公開するならばその認証強度はどの程度であるべきかといったアクセス制御の在り方を確認していく。最後に、もし外部に公開する必要がある資産であれば、どんな脆弱性が存在しており、それらは既に悪用が確認されているのかどうかといった事柄を確認し、優先順位を付けて対策を進めていく。

　ポイントは、1度実施して終わりではなく、継続的に取り組む必要があることだ。IT環境は常に変動しており、昨日の結果と今日の結果、明日の結果が同じとは限らない。その中で不要なものは排除し、新しい資産は監視対象に加えていく必要がある。現に米国のBinding Operational Directive（BOD）23-01では、7日間ごとに資産を可視化し、14日間ごとに脆弱性の把握を行うよう求めている。

　このとき、ネットワーク経路として考慮すべき対象はインターネットに限らない。最も優先順位が高いのは誰もがアクセスできるインターネットだが、それ以外にも、VPNでつながる業務ネットワークやクラウドサービスなどの「内部」、そして支社やサプライヤーとつながる「閉域網」も考えられる。

　大阪急性期総合医療センターの事件が示した通り、閉域網でつながる支店やサプライヤーが侵害されると、そこを介して自分たちが被害を受ける可能性もある。こうした経路についても抜け、漏れなくASMを実行していく必要があるとした。

　そして結局のところ、ASMは決して新しい概念ではなく、IPアドレスを持つさまざまなリソースを把握し、アクセス制御が適切に行われているか、どんな脆弱性が存在するかを確認し、対処し、それを継続していく、という基本を徹底するだけのことだ。

　「人間の健康診断と同じで、自分の今の状態を知り、正しく対処するきっかけ作りとしてIT資産を把握してください。そして、やはり健康診断と同様に、このプロセスを定期的に回し、資産の増減やポート設定の変更といった事柄を把握し、脆弱性を評価し対処していくべきです」（辻氏）

　もちろん、それには相応の労力とコストも必要で、特に外部の事業者に依頼するとコストがかさみがちだ。辻氏は、まず自分たちでポートスキャンを実施することを推奨した。

　「1回体験してみると、必要のないポートが空いていたり、何のために使っているのか分からないサーバが見つかったりします。まずはポートスキャンをやってみることが、自分たちの状態を知ることにつながります」（辻氏）

大量の脆弱性情報に振り回されないために注目したい、悪用の可能性

　新しいことでも、ひどく難しいことでもないASMだが、それでも多くの人が悩むのが脆弱性の管理だ。「皆さん、全ての脆弱性に即対処しなければいけないと考えていたり、『危険度10の最大の脆弱性』といったニュースに振り回されたりして、疲れてしまっているのではないでしょうか」（辻氏）

　脆弱性といってもピンキリだ。そのリスクを判定するために、一般的にはCVSSと呼ばれる値、中でも基本評価基準（ベーシックメトリクス）が参照され、これをベースに「緊急」「重要」「要注意」といったレベル分けがなされることが多い。だが辻氏は、CVSSだけに注目するのではなく、「悪用可能かどうか」に着目すべきだとアドバイスした。