「侵入前提の対策」をうんぬんする前に検討を――始点と終点をしっかり抑えることがセキュリティ対策のポイントにITmedia エグゼクティブセミナーリポート(1/2 ページ)

サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。

» 2024年01月17日 07時02分 公開
[高橋睦美ITmedia]
SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏

 SBテクノロジーのプリンシパルセキュリティリサーチャー、辻伸弘氏は、「攻撃する側の目」から、顧客のシステムを見つめ、どう改善していくかを共に考えるセキュリティ業務に携わる傍ら、さまざまな記事やセミナー、Podcastを通して「どうすれば被害を防げるのか」に正面から取り組み、情報を発信している。

 そんな辻氏の今回の講演タイトルは「セキュリティ起点・終点 侵入前提の前提と侵入前提の話」という、ちょっとややこしいものだ。サイバー攻撃に限らず物事には始まりと終わりがある。辻氏は、侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。

そんなずさんなシステムはまれ? それともよくあること?

 世の中ではさまざまなセキュリティインシデントが起こり、報じられている。辻氏は、起点でなすべきことを考える前提として、それらの中から2つの事例を紹介した。

 1つ目は、東海国立大学機構で発生したランサムウェア被害で、報告書も公開されている。統合認証システムが被害を受けてランサムウェアに感染したほか、最大で約4万人分の個人情報が漏洩した可能性があるというインシデントだった。アクセスログの確認からパスワードの総当たり攻撃を受けていたことが判明したが、より根本的には、設定ミスによってネットワークアクセス制御がうまく働いていなかったことが原因だった。

 「このケースには2つポイントがあります。1つはランサムウェアの感染に気付けなかったこと。本来ランサムウェアは、金銭を要求する脅迫文の表示や、さまざまなファイルを暗号化したりと被害環境の見た目の変化が派手なため

 感染に気付きやすいのですが、システム管理側が自ら気付くことができませんでした」(辻氏)。たまたまパスワードを変更しようとして変更ができなかったエンドユーザーからの問い合わせによって、発覚した。

 もう1つのポイントは、設定変更の不備に気付く術がなかったことだ。「本来、不正アクセスを受けた経路は閉じられていたのですが、メンテナンスの際に、作業を請け負っていた会社の認識誤りで設定が変更され、全ての通信が素通しになってしまいました。しかも、この設定変更が行われたのは不正アクセスが起きる2カ月前で、その後2カ月間ずっと、不要な通信を許可していたことに気付きませんでした」(辻氏)

 こう説明されると、非常にずさんでまれなケースに思えるが、辻氏によると、決して珍しくなく、意外とよくあるケースだという。

 2つ目の事例は、起点を考える上で参考になるインシデントで、Cisco製品のWebベースの管理インターフェイスに存在するCVE-2023-20198とCVE-2023-20273という2つの脆弱性だ。この2つの脆弱性を組み合わせることで、外部から特権アカウントを作成し、さらにはログインして設定変更や内部侵入などのさまざまな操作が行えてしまう。

 問題は、そんな脆弱性が思った以上に放置されていることだ。「本来ならば外部に公開する必要のない管理画面を開けているケースがあるのかと思う人もいるかもしれませんが、Shodanで検索すると、11月26日の時点で11万3023件の管理画面が外部からアクセスできる状態でした。また、VulnCheckという会社が調べた範囲では、数千のホストにこの脆弱性が存在していたそうです」と辻氏は述べ、意識しないまま外部に経路を公開してしまっている環境が想像以上に存在することを再認識してほしいとした。

決して新しい概念ではない「ASM」の徹底で、攻撃の始点を抑える

 自分たちはきちんと設定しているつもりなのに、実は設定ミスがあったり、外部からアクセスできる状態で運用してしまっていたり――そんな状況を改善する鍵が、「アタックサーフェイスマネジメント」(ASM)だ。外部から攻撃を受ける可能性のある箇所を自分たちで把握し、攻撃に悪用される前に先回りして対処する、つまり攻撃の「始点」を根本的に止めてしまおうという考え方だ。

 ASMについては、複数の組織が定義付けを行っている。例えば経済産業省は「ASM(Attack Surface Management)導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を公表し、「組織の外部、インターネットからアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出、評価する一連のプロセス」と定義している。米NISTはもう少し幅広い定義とし、インターネットからに限らず、さまざまなネットワーク経路からアクセスできる部分を対象としている。

 こうした定義を紹介した上で辻氏は、「ASMとは、要は攻撃可能なIT資産とその状態のことを指しています。それらを検出、評価、選別、修正するプロセスおよびサイクルのことであり、一度きりではなくずっとこのサイクルを回し続けるというものです」とまとめた。

 このASMで管理すべき対象は、「IT資産」「アクセス制御」「脆弱性」の3つのカテゴリに分けることができる。

 1つ目のIT資産は分かりやすいだろう。どのIPアドレスでどんなマシンが動いており、そこではどんなOSやアプリケーションが動いているかを把握する、というこれまで通りのプロセスだ。その上で、そうしたIT資産それぞれについて、ポートを開けてインターネットに公開する必要があるのかどうか、限られたユーザーのみに公開するならばその認証強度はどの程度であるべきかといったアクセス制御の在り方を確認していく。最後に、もし外部に公開する必要がある資産であれば、どんな脆弱性が存在しており、それらは既に悪用が確認されているのかどうかといった事柄を確認し、優先順位を付けて対策を進めていく。

 ポイントは、1度実施して終わりではなく、継続的に取り組む必要があることだ。IT環境は常に変動しており、昨日の結果と今日の結果、明日の結果が同じとは限らない。その中で不要なものは排除し、新しい資産は監視対象に加えていく必要がある。現に米国のBinding Operational Directive(BOD)23-01では、7日間ごとに資産を可視化し、14日間ごとに脆弱性の把握を行うよう求めている。

 このとき、ネットワーク経路として考慮すべき対象はインターネットに限らない。最も優先順位が高いのは誰もがアクセスできるインターネットだが、それ以外にも、VPNでつながる業務ネットワークやクラウドサービスなどの「内部」、そして支社やサプライヤーとつながる「閉域網」も考えられる。

 大阪急性期総合医療センターの事件が示した通り、閉域網でつながる支店やサプライヤーが侵害されると、そこを介して自分たちが被害を受ける可能性もある。こうした経路についても抜け、漏れなくASMを実行していく必要があるとした。

 そして結局のところ、ASMは決して新しい概念ではなく、IPアドレスを持つさまざまなリソースを把握し、アクセス制御が適切に行われているか、どんな脆弱性が存在するかを確認し、対処し、それを継続していく、という基本を徹底するだけのことだ。

 「人間の健康診断と同じで、自分の今の状態を知り、正しく対処するきっかけ作りとしてIT資産を把握してください。そして、やはり健康診断と同様に、このプロセスを定期的に回し、資産の増減やポート設定の変更といった事柄を把握し、脆弱性を評価し対処していくべきです」(辻氏)

 もちろん、それには相応の労力とコストも必要で、特に外部の事業者に依頼するとコストがかさみがちだ。辻氏は、まず自分たちでポートスキャンを実施することを推奨した。

 「1回体験してみると、必要のないポートが空いていたり、何のために使っているのか分からないサーバが見つかったりします。まずはポートスキャンをやってみることが、自分たちの状態を知ることにつながります」(辻氏)

大量の脆弱性情報に振り回されないために注目したい、悪用の可能性

 新しいことでも、ひどく難しいことでもないASMだが、それでも多くの人が悩むのが脆弱性の管理だ。「皆さん、全ての脆弱性に即対処しなければいけないと考えていたり、『危険度10の最大の脆弱性』といったニュースに振り回されたりして、疲れてしまっているのではないでしょうか」(辻氏)

 脆弱性といってもピンキリだ。そのリスクを判定するために、一般的にはCVSSと呼ばれる値、中でも基本評価基準(ベーシックメトリクス)が参照され、これをベースに「緊急」「重要」「要注意」といったレベル分けがなされることが多い。だが辻氏は、CVSSだけに注目するのではなく、「悪用可能かどうか」に着目すべきだとアドバイスした。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆