マイナビは12月5日、新宿ミライナタワー12Fのマイナビルームにおいて、セキュリティセミナー「2018年のセキュリティトレンドを振り返る」を開催した。今回はその中から、Tenable Network Security セールスエンジニアの梅原鉄己氏が登壇した「リスクベースセキュリティ対策事例の紹介 ~システムの安全化を図るサイバーセキュリティ取り組み方改革~」の様子をレポートしよう。

IT環境の複雑化に伴い変化するパラダイム

梅原氏は講演の冒頭で、「15,037」という数字を紹介した。この数字は、2017年に見つかった脆弱性の数だ。同氏は「脆弱性数は前年の約2倍で、今後も増加が予測されています。これはもはや、手動による管理ではどうにもならない数といえるでしょう。特に近年では、利用されるアプリケーションの増加、IoTやデバイスの急増、クラウド環境の採用、Dev/Opsの出現など、ITシステム自体が複雑化・多様化しているため、なおさら管理が難しくなっています」と語る。

また、IT環境の複雑性が上がるにつれて、攻撃対象にも変化が見られているという。局所的なセキュリティの強化が行われている一方、従来と比べてより攻撃が容易なシステムをターゲットとした新たなパラダイムが発生。しかし、前述のようにシステム管理者の管理対象が増加していることから、そのギャップを埋めきれなくなっているのだ。

  • Tenable Network Security セールスエンジニアの梅原 鉄己 氏

増加するセキュリティインシデントと人力対応の限界

続いて梅原氏は、より具体的な脅威の解説として、2017年3月に猛威を振るったJavaのWebアプリケーションフレームワーク「Apache Struts2(CVE-2017-5638)」の被害を例に挙げた。このApache Struts2は、2017年3月6日に脆弱性情報が公開されてからわずか2日後の3月8日に、決済代行事業者大手のGMOペイメントゲートウェイがクレジットカード番号など72万件近くの情報流出被害を発表。3月12日には日本郵便の国際郵便マイページサービスで送り状やメールアドレスなど2万9000件が、そして5月9日には国土交通省の不動産取引アンケートで土地関連情報が最大20万件流出している。

「脆弱性情報が公開されてから、実際に企業や団体のシステム管理者がシステムやアプリケーションの状態を確認するまで、規模によって数日から数週間はかかってしまいます。たとえばApache Struts2の場合、共通脆弱性評価システム『CVSS(Common Vulnerability Scoring System)』で概要や脆弱性の影響度を表す記号『AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H』を確認し、そこから具体的な確認や対策を行っていくわけですが、こうした脆弱性が増えるほど、システム管理者の負担もまた増加の一途を辿っているのです」(梅原氏)

毎年膨大な脆弱性が発見される中で、決して取り扱いが容易ではない記号などから、自分たちのシステムに必要な情報を人力で見つけ出すのは極めて困難だ。最近では脆弱性診断のアウトソーシングサービスを利用するケースも見られるが、コスト的にそう頻繁には行えないだろう。たとえば年に一度の脆弱性診断でなにも発見されなかったとして、その翌日に公開された脆弱性の被害に遭うことも考えられるのだ。

さらに同氏は、WordPressの脆弱性やWannaCry、Petya亜種など、2017年の主要なセキュリティインシデントについて紹介。そこには防御製品をかいくぐるケースだけでなく、人的なセキュリティ不備を要因とするものも含まれていた。

"基本的なことを着実に"が求められるセキュリティ対策

従来のセキュリティ対策は、不正アクセス/不正侵入/ウイルス・マルウェア/情報漏えい・不適切利用/標的型攻撃など、個別の攻撃手法をブロックするものが大半だった。しかし、セキュリティ対策の更新に合わせて新たな脅威が誕生するという、まさに"いたちごっこ"の状態になってしまっている。

ここで同氏は、IPAの「情報セキュリティ白書2017」に記載された「サイバーセキュリティ対策に魔法の杖はない」「基本的なことを着実にやるしかない」という文章を引用。この基本として、米CIS(Center For Internet Security)、米国標準技術局(NIST:National Institute of Standards and Technology)、国際標準化機構(ISO)および国際電気標準会議(IEC)27001/27002標準、クレジットカード業界のセキュリティ基準「PCI DSS」など、セキュリティフレームワークプロバイダーに則した取り組みが求められるという。たとえば、米CISの「Controls」で定義されている20項目すべてを実施すれば、97%の脅威を防げるそうだ。

人手に頼らずプロアクティブな対策を実現する「Tenable.io」

こうした取り組みを行う場合、人力では圧倒的にリソースが不足することに加えて、従来のような事後対応型の「リアクティブ」ではなく、予防対策型の「プロアクティブ」なソリューションが必要不可欠といえる。

そこで同氏が紹介したのが、Tenable Network Securityの脆弱性管理ソリューション「Tenable.io」だ。この「Tenable.io」では、ネットワーク内に設置された「Nessusスキャナ」が監視カメラのように情報をリアルタイム収集。「Tenable.io」のダッシュボード上で、脆弱性の数と推移、対応が必要な優先順位などをグラフィカルに表示してくれる。ドリルダウンで脆弱性の一覧から詳細解説まで確認ができる、ポリシーに違反している脆弱性を迅速にソートできる、といった機能も便利だ。

同氏は実際に「Tenable.io」のデモンストレーションを行いながら、「ネットワーク全体のリスク情報が一元化できるのはもちろん、これまでのように調査の人手や時間がかからないので、注意喚起情報を受け取ってすぐにセキュリティリスクの洗い出しと対策が可能です」と、その優位性をアピールした。ダッシュボードのテンプレート、スキャンのポリシーなども豊富に用意されており、企業のシステム状況に応じた使い方ができるのも魅力だ。

最後に梅原氏は「セキュリティ対策ソリューションは、リアクティブからプロアクティブへの変革が求められています。特に脆弱性診断は、最低でも週に一回が理想と言われていますから、システム管理者の負担やコストを抑えるためにも、『Tenable.io』のようなソリューションをぜひご活用ください」とコメントし、講演を締めくくった。

[PR]提供:Tenable Network Security Japan