ハッキング技術を駆使して重要サーバへの侵入や機密データへのアクセスを行うなど、実際の攻撃者と同じ手法を使ってシステムの脆弱性を把握するペネトレーションテストを実施しているトライコーダ。同社 代表取締役の上野宣氏は、「攻撃者の視点からセキュリティ対策を考えることが重要」だと言う。

3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar.『推奨』と事例に学ぶ事前対策」に同氏が登壇。ゼロトラストの環境下では攻撃者の考え方や攻撃の方法がどのように変わるのか、攻撃者の視点から必要なセキュリティ対策について解説した。

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら

エンドポイントに仕掛けられる攻撃とは

講演冒頭で上野氏は、エンドポイントに仕掛けられる攻撃の例をいくつか挙げた。多く使われるのはフィッシング攻撃やマルウエア感染、リモート攻撃などだが、内部者による脅威もある。従業員が意図的に情報を外部に漏えいさせることがあるのだ。攻撃者はこれらの方法によって侵入するが、エンドポイントを1つ攻略したらそれで終わりではなく、そこで入手した情報を利用してさらに深部へのアクセスを試みる。

エンドポイントが狙われるのは、一般的にサーバに比べてセキュリティが弱いことに加え、ユーザーの行動の不確実性が隙を生じやすいからだ。セキュリティの講習を受けたとしても全員が意識高く行動できるわけではないし、リモートワークが拡大してモバイルデバイスの利用も広まり、多様なデバイスが使われる。そのことからセキュリティを一貫して保つのが困難になっているのだ。

  • エンドポイントへの攻撃シナリオ例

攻撃面を継続して管理するASM

そこで昨今は、Attack Surface Management(ASM)という取り組みも広まっている。これはサイバー攻撃の対象となり得るIT資産、つまり攻撃面を継続して管理する取り組みのことだ。スキャナーや公開情報を基に調査するOpen Source Intelligence(OSINT)やPublicly Available Information(PAI)によって攻撃面を発見し、リスクを評価、その結果に応じて優先順をつけて対策を行う。

「このような取り組みは組織全体に関わってくる問題なので、各部門の協力が必要不可欠となります」(上野氏)

  • ASMの概要

従来の対策は主に境界型防御で、内部を保護するために外部からの不正アクセスを防ぐことが中心だった。ファイアウォールで境界を保護し、侵入検知システム(IDS)や侵入防止システム(IPS)で監視や検知を行っていた。しかしこれは、ネットワーク内に信頼できるユーザーしかいないという前提に基づいたものだ。リモートワークで外部からアクセスすることが普通になった今は、ネットワーク境界があいまいになり、境界の外に重要なリソースが置かれている。だからこそ境界型防御からゼロトラストモデルへの移行を検討しなくてはならないのだ。

徹底したID管理でクラウドサービスへの侵入を防ぐ

クラウドサービスはさまざまなシステムによって保護できるが、その一方で業務の統制が難しい点が課題だと上野氏は話す。従業員にルールを課したとしても、人はルールを忘れることがあるし、社外で仕事をするために悪気なくデータを持ち出したり、組織で把握していないクラウドサービスを利用したりすることもある。従来のように社内システム環境だけを見ていれば良いというわけにはいかない。

多くの攻撃者は、ユーザーのIDやパスワードといった資格情報を利用してクラウドサービスに侵入する。資格情報はまずユーザーの端末に侵入し、そこから得た情報を活用して入手するのだが、最も多いのがIDやパスワードを記載したファイルが発見され、そこから芋づる式にサーバの共有パスワードなどさまざまなものが見つかるというパターンだ。侵入した端末のアプリケーションに記録されたパスワードや設定ファイル、ブラウザに残されているセッション情報も利用される。

こうした侵入を防ぐには、退職した社員も含めて徹底したID管理を行い、従業員が利用しているクラウドサービスを把握することが大切だ。しかしID管理だけでは不十分だと同氏は力を込める。ユーザーに全ての情報へのアクセス許可を与えないという厳格なアクセス制御を行ったうえで、アクセスするデバイスの信頼性も確保する必要があるのだ。IDやパスワードを盗まれただけで終わりという状態にしないことが重要である。

認証設計はID、パスワードが漏えいしている前提で

「こうしたリスクから守るために重要なのは、IDやパスワードが漏えいしているという前提で認証設計を行うこと」だと上野氏は言う。そこで使うべきなのが多要素認証だ。ワンタイムパスワードが現在の主流だが、これはフィッシングによって破られる可能性がある。それよりも、FIDOやPasskeyなどのハードウエアを関与させた認証や、クライアント証明書を利用するほうが高い効果を発揮するという。

また、アクセス可否の判定を本人確認だけでは行わない、デバイスやネットワークデータといった情報を基にした動的アクセスポリシーによるアクセス制御も有効だ。例えばログインの時間やデバイスの正当性、許可されているアプリケーションかどうかなど、少しでも違和感のあるものについては確認を求めるシステムを導入していくことが望ましい。

  • 動的アクセスポリシーによるアクセス制御の例

攻撃に気付くには、まずSecurity Information and Event Management(SIEM)と呼ばれるログの分析と監視を行わなくてはならない。そのうえでエンドポイントについては事前対策としてアンチウィルスソフト、事後対策として攻撃者の行動を検知できるEndpoint Detection and Response(EDR)や、EDRの検知ポイントをエンドポイント以外にも広げたExtended Detection and Response(XDR)を導入することが必要になる。

クラウドについては、利用状況の分析・可視化やデータ流出の阻止といった機能を持つCloud Access Security Broker(CASB)や、統合的なセキュリティ機能を持つSecure Access Service Edge(SASE)などを活用することで検知や防御が可能になる。さらに、SaaS Security Posture Management(SSPM)と呼ばれるSaaSセキュリティ体制管理を導入するのも有効だ。SSPMはSaaSを自動監視してクラウドの設定の不備や権限などの問題を特定できるため、設定に問題があったためにファイルが公開されてしまったり、退職した従業員のアカウントが悪用されたりといった事態を防ぐことができる。

ゼロトラストは完璧なセキュリティではない

ゼロトラストを導入すると、当然ながら攻撃者の行動も変わってくる。まず厳格なアクセス管理が行われるため、従来のようにネットワークエッジを利用した攻撃が難しくなる。またエンドポイントの状態が可視化されデバイスの信頼性が確保されるため、デバイスを乗っ取って侵入することも困難になる。さらにイベントが可視化・検証されるため、攻撃者は検出されやすくなる。つまりゼロトラストの環境下では、攻撃の成功確率は低下する。

しかし上野氏は、「ゼロトラストモデルが完璧なセキュリティを提供するわけではない」と警告する。

「ゼロトラストモデルを完璧に実装することは難しいです。やることが多く、設定ミスや人為的ミスも必ず起こり得るでしょう。また、ゼロトラストへの移行には時間もかかるので、こうしたところを攻撃者は突いてきます」(上野氏)

それでも、ゼロトラストは間違いなく有効な手段だと言える。攻撃者の攻撃コストを増加させることができるためだ。攻撃を成功させるにはより多くの時間とリソースがかかり、技術的なハードルも高くなる。結果として、攻撃が難しくなるだけでなく、攻撃を試みる者も減っていく可能性が高まるのだ。

最も重要なのは被害の最小化

「攻撃を100パーセント防ぐことは不可能だと考えてください」と上野氏は話す。

だからこそ、すでに侵入されている前提で対策を行い、攻撃が発見されたら大きな被害が出る前に対処する。そうやって万一の際の被害の最小化を考えることが大切になる。

また、攻撃が検知されるのを待つのではなく、侵害を想定してセキュリティの脅威を発見し、事前に対策を考えることも必要だ。その際には、攻撃者が侵入する際の攻撃経路を理解しておきたい。どんな経路で侵入し、次の端末へはどう行くのか、どうやってサーバに残り続けるのかといったことをシミュレーションしておけば、不審な活動の検出も容易になる。攻撃の知識を持つことも、セキュリティ対策には重要なのだ。

最後に上野氏は「攻撃の知識を理解してほしい」と再度念を押して、講演を締めくくった。

「実際の攻撃は想定しているよりも複雑になっています。そのためには、攻撃者の心理を理解しましょう。潜在的な脆弱性の発見にもつながります。片手間のセキュリティでは防げないので、進化していく攻撃への対策を行っていきましょう」(上野氏)

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら