新型コロナウイルスの感染防止対策に後押しされて、2020年から急速にリモートワークが普及してきた。
情シス担当者の方々は急遽インフラ整備の対応に追われ、苦労されたことだろう。
初の緊急事態宣言から1年あまり、リモートワーク環境の構築も一段落したことと思われるが、ここでひとつ振り返ってみていただきたい。
今の環境は、本当に安全なのだろうか?
不安を感じている情シスは、管理の行き届かない資産にどう立ち向かう?
リモートワーク環境を構築する際のちょっとした設定ミスから情報漏洩が起こる可能性があることは、しばしば注意喚起されている。リモートワークに限らないことだが、事業が大きくなったり多様化したりすれば、その分設定しなければならないことが多くなり、リスクが生まれる機会も増加する。特にクラウド時代となった今、事業部門独自で容易に環境を構築できるようになっている。情シス部門にとっては、社内で利用中のサービスや立ち上げられた仮想サーバーを台帳に記録するだけでも大仕事となっているはずだ。そのうえで、セキュリティ面にも細心の注意を払うことが求められ、日々、ストレスや不安を感じている情シス担当者も多いだろう。
そうした状況において、グローバルIPアドレスを有するサーバーや機器、クラウドサービスなどといった「資産」の中で、「管理できていない資産」こそが攻撃のターゲットにされる危険性が高い。
DXが加速し、従来のセキュリティ対策が追いつかなくなる
DX推進のため、事業部門が情シスへの報告なく、パブリッククラウド上に新事業用のサーバーを立ち上げてしまうケースもある。事業部門からすれば「スピーディなビジネス展開のために、情シスの確認が終わるのを待っていられない」のかもしれないが、はたしてスピード重視のシステム構築で、高度な知識を必要とするアクセスポートの管理・制御などのさまざまな対応をミスなくできているのか、不安は残る。
たとえば、事業部門が構築したインフラやサービスに、オープンソースソリューション(OSS)が採用されている場合には、問題はより面倒になる。OSS利用にあたってはセキュリティ上、随時リリースされる脆弱性への対処やサポート終了への配慮が必須だが、情シスが定期的かつ正確に、各部門の対応状況を吸い上げるのは困難だ。
管理下を外れた資産が「シャドーリスク」となる
そもそも情シスでは、グローバルIPアドレスを有するサーバーや機器、クラウドサービスなど、企業全体が保有する資産の全貌を、どれだけ正確に掴めているだろうか ――Forbes Global 2000にランクインしている某製造企業において、存在を把握できていたのは実際の資産の77%にすぎなかったという結果 ※もある。 事業部門が独自に立てたサーバーや、引き継ぎミスで台帳に記載されなかったドメインなど、23%もの資産が情シスの管理外にあったということだ。
※CyCognito Inc.調べ
"見えないリスク"でも責任を問われるのは情シス部門
このように、攻撃のターゲットにされる危険性のある把握できていない資産や、管理できていない資産と関連するリスクは、「シャドーリスク」と呼ばれている。シャドーリスクに端を発してトラブルが生じた際、まず責任を問われるのは、残念ながら情シス部門だろう。担当者にとっては理不尽な話に聞こえるかもしれないが、組織としては「知らなかった」ではすまされないのだ。
仮にシャドーリスクを抱えていたとしても、すべてを信頼しないという考え方のゼロトラストセキュリティを実現できれば、セキュリティは維持できるかもしれない。しかし日々の保守・管理業務やインシデント対処に追われる情シスにとって、労力やコストの面で、いきなりこれを導入するのは難しい。
安全性の維持・向上のために、今、急務とすべきは、保有する資産を洗い出して弱点を払拭し、攻撃のターゲットにされない環境をつくりだすことだと言えるだろう。では、どのようにそれを実現すべきなのだろうか。
シャドーリスクをつぶしていく「CyCognito」
最近の攻撃者は「効率のいい攻撃」を仕掛けるために、まずターゲットを定め、放置されたままのサーバーや、対応されていない脆弱性など、その企業システムの弱点を探すところから始めるという。セキュリティを守る側も、同じ手法で自社の弱点を探して、その対策を講じるのが「効率のいいセキュリティ対策」と言える。攻撃者の目線から、自社の資産を見つめ直すのだ。
これを可能にするソリューションとして挙げられるのが、イスラエルのエンジニアが開発した「CyCognito(サイコグニト)」だ。全社的な資産を自動で探索・可視化し、そこにあるリスクを抽出、適切な対処策の提示までしてくれる。CyCognitoに詳しい日立ソリューションズ 長田 義之氏に、その機能を紹介してもらった。
日立ソリューションズ セキュリティプロダクト本部 セキュリティサービス部 第2グループ 技師 長田 義之氏
「資産の探索にあたって必要な情報は、企業・組織のトップドメインだけです。そこからCyCognitoが攻撃者視点でWhois/DNSなどの公開情報、検索エンジンからの情報、企業サイトのコンテンツ、サーバー証明書の発行情報などを自動取得します。それらの手掛かりを集めたうえでインターネットをクローリングして、その企業・組織に関連があると思われる資産、たとえばWebサイト、IPアドレス、ドメイン、サーバー証明書情報、ネットワーク機器などを探し出し、可視化します。情シスが把握できていなかったものまでを含め、資産の全貌が明らかになるわけです 」(長田氏)
その後CyCognitoは、見つかった資産の脆弱性を、最新情報をもとに診断していく。診断は多数のBotを使って時間を掛けて行われるため、従来の診断ツールのように、サーバーに負荷が掛かって稼動に悪影響を及ぼすことはない。また診断のため、システムの変更や計画停止などの保守運用も必要ない。
「探索・診断を行ってよく見つかるものには、データベース・サーバーやSSH(Secure Shell)/RDP(Remote Desktop Protocol)/telnetなどのリモートアクセスポートの露出、管理ソフトウェアのコンソール画面の露出などがあります。廃止したと思っていたWebサイトや、以前テスト用に取得した独自ドメインが生きており、そのWebサーバーがメンテナンスされていない状態で放置されていた、ということもありました」(長田氏)
-
CyCognitoがトップドメインから、証明書発行状況やドメイン/IP登録情報などをたどり、オンライン上にある関連資産を探索、ツリー形式で可視化する
インシデント対応の負荷を軽減、「攻めの情シス」へのシフトも
可視化された資産やリスクの状況は、専用のポータルサイトで確認でき、また見つかったリスクへの対処法も読むことができる。
「単純にポートを閉じる、セキュリティアップデートを行うといった対処法は分かりやすいですが、説明に特殊な用語が使われていて、読んだだけではどのように対応すべきか理解しがたいことがあります。また、単純にセキュリティアップデートを行うといっても、実際には簡単に実施できないケースもあります。たとえば、PHPのサポート終了に伴うバージョンアップにより言語仕様が変わった場合、上位で動くアプリケーションへの対応も必要となるため、セキュリティアップデートを簡単には行えない場合もあります。こうした場合は当社にご相談いただければ、対応を支援させていただきます」(長田氏)
見過ごしていた資産や、存在さえ忘れられていた資産に潜むシャドーリスクを見つけ出して適切に対処し、弱点を逐一つぶしていけば、攻撃者は貴社をターゲットにすることを諦めるだろう。
「"攻撃者に狙わせないこと"を狙うのが、CyCognitoを利用する目的です」(長田氏)
また、攻撃の先手を打つことでインシデント対処件数・時間の削減につながり、情シスの負担軽減、ひいては限られた人員を有効に配置することが可能となる。守りから攻めの情シスへシフトすることもできるだろう。
変化する資産、進化する攻撃に対処するために
しかしいったん、資産とリスクを総ざらいしたとしても、安心は禁物だ。日立ソリューションズ 小林 淳氏は資産の探索やシャドーリスクの診断は、定期的・継続的に行うべきだと言う。ビジネスにスピードが求められ、DX促進が叫ばれる現代、事業部門独自のオンライン展開は今後ますます加速すると思われ、それに合わせてシャドーリスクも蓄積していくからだ。ソフトウェア、ハードウェアのメーカーから公表される脆弱性への対処も、迅速に行っていかなければならない。
日立ソリューションズ セキュリティプロダクト本部 セキュリティサービス部 第2グループ 主任技師 小林 淳氏
定期的・継続的な探索・診断の実現を支援するために、日立ソリューションズでは、CyCognitoを年間サブスクリプションで提供している。月1回、探索・診断、そしてリスクへの対処策まで確認できるので、新たな事業展開や新ツールの導入などによって企業の資産に変化があっても、安全性を維持することができる。
「すぐに対応できないケースに関しては、他のセキュリティ製品の組み合わせで解決策をご提案します」(小林氏)
蓄積したリスクが攻撃者に狙われて大きな被害を被ってしまう前に、一度、CyCognitoによる棚卸を行ってみるのが得策と言える。2021年9月末まで、約1か月間 CyCognitoを無料で利用できるキャンペーンが実施されている。このキャンペーンでは、探索・診断だけでなく、対策をまとめたレポートの提供も行ってくれるので、この機会に検討してみてはいかがだろうか。
[PR]提供:日立ソリューションズ
