事前・事後の対応を年間数百件に上る緊急出動事例からアドバイス――ラック サイバー救急センター長 関宏介氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

脆弱性のある機器や、不用意に公開されたサービスの有無を定期的に確認を

　こうした攻撃にどのように備えるべきか、対策のヒントを紹介した。

　対策は大きく、初期侵入を防ぐ「侵入口の対策」と、それでも侵害されてしまった場合に被害を低減する「侵入された後の対策」、そして「インシデントが起こってしまったときの調査・対応」に分けることができる。

　侵入口の対策としては、繰り返し狙われているVPN機器を中心に、脆弱性のある機器や不用意に公開されたサービスがないかを確認し、適切に管理することが重要だ。

　この原則に異を唱える人はいないだろうが、実際にはいくつか盲点がある。1つは、情報システム部門が把握していない「シャドーIT」だ。現に、事業部門が設置した機器のメンテナンス用に業者が用意したVPN機器に脆弱性が残っており、悪用されるケースも報告されている。

　関氏は「脆弱性のある機器が残っていないかを一度調べて終わりにするのではなく、継続的に、できれば定期的に確認すべきでしょう。もし脆弱性があれば、特に、VPN機器は最優先でアップデートすべきです」と述べた。また、もし可用性を重視して冗長構成を取っている場合には、予備機側のアップデートもポイントだとした。

　関氏が前段で説明したとおり、クラウドサービスのアクセス制御に不備があり、侵入を許し、情報漏洩につながる設定になっているケースもしばしばある。この問題については、どこまでをクラウド事業者に任せ、どこから自分たちが管理するのかという責任範囲を理解した上で、アクセス制御やアカウント管理をしっかり実施すべきだとした。

クラウド環境の責任範囲

　「中には、侵害に遭った後、セキュリティを向上させるためにクラウド移行という再発防止策を挙げる企業もあります。しかし、クラウドに移行したからといって必ずしもセキュリティが向上するわけではありません。自分たちで管理しなければならない部分があることを認識してください」（関氏）

　次に、こうして入り口を固めていても侵入されてしまった場合に備えた対策だが、基本的には「多層防御」という考え方がベースとなる。「強力な壁、一枚で守るのではなく、ネットワークの防御壁、エンドポイントの防御壁、アプリケーションの防御壁というように、何枚もの防御壁によって守る考え方が重要です」（関氏）

　そして、昨今のランサムウェアの手口には標的型攻撃と似通う部分が多いことから、IPAが公開しているガイドラインなどを参考に対応策を実施すべきとアドバイスした。また攻撃者が特に狙ってくる権限昇格を防ぐために、Windows環境であればActive Directoryの管理者権限をしっかり守るとともに、キッティングなどに使われる共通アカウントが残っていないかを確認することもポイントだ。

　ランサムウェアへの備えとしてはバックアップも重要だ。ただ、一口にバックアップといっても、ファイル共有でバックアップをしていたり、ローカル環境にバックアップデータを置くものから、専用ハードウェアを用いるものまでさまざまな方法がある。「ファイル共有やローカルへのバックアップはサイバー攻撃の前には無力です。権限を見直したり、クラウドや専用ハードウェアの利用を検討したりしてください」（関氏）

あわてて復旧させる前に留意したい「記録」と「現場保全」

　最後に関氏は、インシデントが起こってしまった場合に留意すべきポイントや、その前段階として準備すべきに事柄もアドバイスした。

　インシデントに直面すると、関係者が集まって、とにかく早く復旧しようと大騒ぎになるイメージがあるが、こういうときこそ「記録」や「現場保全」が大切になるという。

　「やれることからどんどん手を付けてしまうと、その変更が攻撃者によるものなのか、インシデント対応によるものなのかが分からなくなります。誰が、いつ、何をしたのかという記録を取ると同時に、調査をしたり何かに触ったりする前には必ず環境保全をするよう心がけてください」（関氏）

　そして、深刻なインシデントの場合は、被害拡大を防ぐためにシステムやサービスそのものを停止すべきか否かの判断を迫られることもある。「躊躇している間にどんどん被害が広まり、封じ込めに失敗してしまう場合もあります。被害拡大防止のために、あらかじめサービスやシステム停止の条件を決めておくのがいいでしょう」（関氏）

　とにかく復旧を優先するあまりに安易にシステムを立ち上げ直すと、再度侵害を受けるケースもある。そうした事態を招かぬよう、きちんと原因を特定し、それに基づいた適切な再発防止策を打つことが重要だとした。もし自社にそうした調査が行えるリソースがない場合は、あらかじめ依頼先を探しておくこともポイントだという。

　そして、環境保全を行う際には、「適切な種類のログが、適切な期間保持されているかを、インシデントの前にあらかじめ確認しておくこと」がポイントだとした。デフォルト設定では短期間しかログが保存されない環境もある。インシデントが起こる前に、こうした情報がきちんとあること、そして時刻設定にずれがなく同期されていることを確認するよう推奨した。

　こうして対策を挙げていくと、あれもこれもとやるべきことがあり、何から手をつけるべきか分からない、と感じるかもしれない。関氏は「まずは優先順位の高いもの、リスクが最も高いものに手を付ける必要があるでしょう」と述べ、具体的にはやはり、VPN機器と意図せず公開しているサービスの確認から始めるべきだと呼びかけた。

　そして、システムの構築・運用を支援する業者との間で、脆弱性が報告されたときには誰がアップデートを行うのか、インシデントが発生した際にはどう対応するのかを、契約も含めて確認することも重要だという。

　さらに「こうした対策は、一度やっておしまいではありません。リスクマネジメントのシステムを導入し、継続的にセキュリティレベルを維持する仕組みを整えることが重要です」と述べ、そのために適切にリソースを振り分けてほしいと述べ、講演を終えた。