情報漏洩の芽を摘む! アズジェントが贈る診断サービスの特長とは(後編)

脆弱性を突く攻撃が広まるなか、セキュリティ診断サービスの利用が拡大しているという。前回は、アズジェントが提供する「セキュリティ診断サービス」の内容にふれながら、企業がセキュリティ診断サービスを利用することでどんなメリットがあるのかを紹介した。今回は、セキュリティ診断サービスの検査項目や診断の流れを具体的に紹介する。

ネットワークとWebアプリケーションの両面でチェック

アズジェントのセキュリティ診断サービスには、ネットワークの脆弱性を診断する「ネットワーク診断サービス」と、Webアプリケーションの脆弱性を診断する「Webアプリケーション診断サービス」の2つがある。

近年のサイバー攻撃は、組織に存在する"穴"を狙って複数の攻撃をしかけてくる。攻撃にはさまざまな手法があるが、攻撃の対象という点では、大きく、サーバやネットワーク設定の不備を突く攻撃と、SQLインジェクションやクロスサイトスクリプティングのようにWebアプリケーションの設計上の不備を狙う攻撃に分けることができる。アズジェントでは、この2つに対し、それぞれネットワーク診断サービスとWebアプリケーション診断サービスを提供している。

ネットワーク診断サービスは、サーバやネットワーク機器、OS、ファームウェア、サーバソフトウェアの設定の不備やパッチ適用の不備による脆弱性などを対象に検査を実施するものだ。診断対象は、IPアドレスが割り当てられているネットワークデバイスで、リモートまたはオンサイトで診断を実施する。

一方、Webアプリケーション診断サービスは、Webサーバ(http)上で稼働するアプリケーションを対象に脆弱な挙動等の検査を実施するものだ。診断対象は、Webサーバで、リモートまたはオンサイトで診断を実施する。

アズジェントの技術本部セキュリティ・サービス部でシニアアナリストを務める田中慎太郎氏は、診断サービスの特徴について、次のように話す。

「診断ツールを使った機械的なチェックだけではなく、専門家の知見を生かした手動での診断を行うことがポイントです。事前にシステム環境のヒアリングを行い、お客様にとって最適な診断方法を提案します。その際は、セキュリティオペレーションセンター(SOC)の運用経験や、セキュリティ専門企業として、さまざまなセキュリティ製品やサービスを提供することで得たノウハウを生かします」

田中氏自身も、セキュリティ専門のアナリストとして、診断や脅威の分析、改善方法の提案を行っている。ネットワーク診断とWebアプリケーション診断を組み合わせることで、組織に必要な対策を的確にアドバイスできるようになるという。

ポートスキャンから脆弱なアカウント調査まで行うネットワーク診断

ネットワーク診断サービスの診断項目は、「ポートスキャン検査」「ホスト情報収集」「脆弱性調査」「手動確認」「公開サービスの設定漏れや不備の確認」「脆弱なアカウント調査」の6つ。

ポートスキャンは、狙われやすいTCP/UDPポートが開放されていないか、そのポートを使った攻撃が可能かなどをチェックする。Windowsのファイル共有に使うポートや、本来HTTPサーバやSSHサーバとして稼働させていないサーバのポートの開放状況などを一覧で把握することができる。

ホスト情報収集は、診断対象のOSやアプリケーション情報を収集し、バージョンごとに問題がないかを確認する。攻撃者は、OSやアプリケーションのバージョンを把握して、そのバージョンに潜む脆弱性を突いてくる。バージョン特有の問題を潰しておくことで、攻撃の成功率を下げることができる。

脆弱性調査は、OSやソフトウェアの設定不備やセキュリティパッチの適用漏れがないかを確認する。クライアント側からツールを使った擬似攻撃を行い確認する。

手動調査は、アナリストが手動でOSやソフトウェアに関する情報を確認する。ツールだけでなく、経験のある人間の手でチェックすることで、機械的に判断できない項目を診断できる。ここで、脆弱性の有無について、しっかりとした証拠を取り、アドバイスに生かすという。

公開サービスの設定漏れや不備の確認は、不要なディレクトリが公開されていないかなど、サーバの設定に不備がないかを確認する。Webサーバ上で、重要情報が公開されて、外部からの指摘で情報漏洩が発覚するケースが多いが、そうした不備を確認できる。

脆弱なアカウント調査は、推測不可能なアカウントやパスワード情報を利用しているために、リモートからログインされる危険がないかを確認する。admin:adminやroot:1234などといった特権ID:脆弱なパスワードの組み合わせが使われていないかをチェックする。ネットワーク機器のパスワードがデフォルトのまま使用されていないかなどもチェックする。

このように、ネットワークに関してツールと手動を使った詳細な診断を行う。どのようなシーンで活用できるかという視点でまとめ直すと、以下のようになる。

• ネットワーク機器やミドルウェアの設定チェック
• OSやアプリケーションのパッチ適用のチェック
• ネットワーク環境の定期チェック(3ヵ月ごと、半年ごとなど)
• システムの初期設定チェック
• ユーザーアカウントやパスワードの設定チェック
• 公開不要なWebコンテンツなどのWebサーバの設定チェック

攻撃者の視点でWebアプリケーションの脆弱性を発見

一方、Webアプリケーション診断サービスは、「クロスサイトスクリプティング攻撃」「クロスサイトリクエストフォージェリ攻撃」「SQLインジェクション攻撃」「OSコマンドインジェクション攻撃」「ディレクトリ・トラバーサル」「強制ブラウジング」「認証機能/アクセス制御の不備」を診断する。

クロスサイトスクリプティングやSQLインジェクションは、よく見つかる脆弱性の1つだ。「以前は、クロスサイトスクリプティングが診断サービスを受けた企業の9割くらいで見つかったこともありました。最近は、開発プラットフォームがしっかりしてきたこともあり、だいぶ減ってはきした。ただし、Webサイトによっては、すべてのベージで見つかることがあります」(田中氏)という。

また、クロスサイトリクエストフォージェリ攻撃とは、意図しない別のサイト上で何かしらの操作(書き込み)が行う攻撃で、OSコマンドインジェクションは、WebサーバのOSコマンドを不正に実行する攻撃、ディレクトリ・トラバーサルとは通常アクセスできないファイルやフォルダが閲覧されてしまう攻撃だ。これらの攻撃も、脆弱性を使用して実行されるため、その危険がないかを診断していくことになる。

そのほか、強制ブラウジングでは、公開されていることを想定していないコンテンツが不正に使用される危険性がないかを診断し、認証機能/アクセス制御の不備では、適切なログインを行うことなく、ログイン後のコンテンツにアクセスされる危険性がないかを診断する。

「同じサイトは2つとありません。提供しているサービスや取り扱う情報はさまざまで、さらに攻撃する側の動機や目的も一様ではありません。この違いを診断メニューとして定型化するのは難しい。そこで、攻撃する側と同じ視点を持って、診断していくことが求められます。その際には、自社でSOCを持っていることや多くのセキュリティ製品やサービスを扱っている経験が生きてきます。常に最新の脅威を研究しているので、診断にも反映することができます。診断を受けたいという顧客のニーズに合わせて、最適な診断を行うように心がけています」(田中氏)

Webアプリケーション診断サービスの活用シーンとしては、以下が考えられる。

• PCIDSSやISMSの取得・運用で必要な診断結果のエビデンス
• お客様さまへ納入するシステム環境の報告書として利用
• システムの初期設定チェック(3ヵ月ごと、半年ごとなど)
• 自社組織内のセキュリティチェック
• 各種セキュリティ監査への報告
• 外部公開システムの本番稼働前の確認

セキュリティ診断サービスを上手に使う

利用の流れは、ネットワーク診断サービスも、Webアプリケーション診断サービスも基本的に同じだ。診断の前にセキュリティ専門アナリストが顧客の環境や診断要望をヒアリングした上で診断を実施。診断結果を元にネットワークやWebアプリケーションの脆弱性をチェック。結果報告会を経て、再診断や最終報告書納品、QAサポートの実施などとなる(再診断サービスなどは前回参照のこと)。

報告書のポイントとしては、診断結果をセキュリティリスクのレベル別にHigh、Medium、Lowの3段階で提示し、それぞれどのような対策を取ればいいかを含めてアドバイスしている点が挙げられる。「サービスポートやIPアドレス、アプリケーション別に、セキュリティリスクを確認することができるので、実行に移しやすい」(田中氏)ことが大きな特徴だ。

ネットワークもWebアプリケーションも脆弱性を完全になくすことはできない。改善を施しても、それを破るような新しい脅威は次々と生まれてくる。その点について、田中氏は、「ネットワークについては、OSやミドルウェアのバージョンを最新に保ち、最新のセキュリティパッチをあてることが基本的な対策です。また、アプリケーションについては、セキュリティを意識してプログラムを書くセキュアコーディングが重要になってきます」とアドバイスする。そうした基本のうえで、セキュリティ診断サービスを上手に使って、組織の安全性を高めていくことが大切だろう。