サイバー攻撃が高度化し、企業のIT環境も複雑化していると言われる昨今では、セキュリティインシデントの発生後にフォレンジック調査を依頼したり、事前にログ解析サービスを依頼する企業も増えている。しかし、そうしたサービスははたして有効に活用されているのだろうか。本稿ではTIS株式会社の2人のセキュリティ・エキスパートに、現在の日本企業が抱えるセキュリティ課題と、ソリューションやプロダクトの選定や活用方法をふまえ、正しいセキュリティ対策について持論を展開してもらった。
登場人物
-
TIS株式会社
IT基盤技術本部 IT基盤サービス第1部
エキスパート 横森 隆氏 CISSP -
TIS株式会社
IT基盤技術本部 IT基盤サービス第1部
主査 山本 謙氏
“セキュリティトレンド”を鵜呑みにしてはならない理由とは
──最近のセキュリティリスクの動向についてどのように見ていますか。
山本氏: やはり世界的にコロナ禍の影響を強く受けていますね。昨年より在宅ワークをはじめとしたリモートワークが一般的となったことで、企業のネットワーク構成も大きく変わっており、そこを突いたサイバー攻撃が増えています。セキュリティベンダーなどの間で頻繁に叫ばれているのが、VPNを狙ったサイバー攻撃でしょう。このように、IT環境の変化がセキュリティリスクにつながっている、というのが一般的に言われている最近の動向です。
横森氏: たしかに、最近ではVPNがやり玉に挙げられがちですが、この問題の本質は単なるIDとパスワード管理のあり方に過ぎません。にもかかわらず、あたかもVPN固有の脆弱性であるかのように誇張され、これからは“ゼロトラスト・セキュリティ”だといった論調になっていますが、この問題と対策の間にはまったく関係がないと言っていいでしょう。
そう考えるとセキュリティトレンドといえるものはほとんど存在せず、強いて挙げるとすれば、2014年に発見されたBashの脆弱性「ShellShock」とOpenSSLの脆弱性「Heartbleed」、過去の「Apache Struts」の脆弱性ぐらいではないでしょうか。これらのように、誰が仕掛けてもインパクトの強い攻撃となってしまうような脆弱性が発生したときにのみ“トレンド”と呼ぶべきでしょう。そうした深刻な脆弱性についても、対策が行われたあとは単なるセキュリティパッチの不備の問題にすぎないのです。
そもそもセキュリティリスクというのは、脆弱性と脅威が複雑に絡んで生まれるもので、そこに傾向を見出すのというのは少々無理があるというのが私の考えです。なぜならば、攻撃者はトレンドに同調などせず、常に自分たちがやりたいようにしているからです。しかし、まるで深刻な脆弱性が新しく見つかったかのように危機を煽り「これが新しいトレンドだ!」などと吹聴する記事や製品紹介が多いように見受けられます。
フォレンジック調査の意外な落とし穴に注意!
──セキュリティインシデントが発生した際の企業の行動や、フォレンジックという手法の役割と重要性について教えてください。
山本氏: 一般的にセキュリティインシデントが発生した際に企業がとる行動は、まずシステムからのアラートに対応する優先度を判定したうえで、内部で調査を行います。しかしログが消されていたりして内部だけで調査しきれない場合は、フォレンジック調査を専門会社に依頼するという流れになります。
横森氏: 実際のところ何をしていいのかわからないので、ひとまずフォレンジック調査を依頼するというケースが多いのではないでしょうか。つまり求めている回答はどこにあり、そのためにどのようなレポートを出すべきなのか、などの要件が明確化されていないのです。本来フォレンジック技術者は、依頼要件がわからなければ何もできないはずなのですが、国内で提供されているフォレンジックサービスは、とりあえず着手してしまいます。すると、結局のところ単なるPCのプロファイリングになってしまい、たいていは最新のOSにアップデートしてくださいといった初歩的な対策にとどまってしまうのです。また、フォレンジックのレポートを読み取れる人が顧客側にもいないので、その結果が何を意味しているのかまでふみ込めないのも課題です。
こうした課題を受けて、今後フォレンジックサービスを有効活用するには、まず本当にフォレンジック調査をする必要があるのか、それによってインシデント解決につながる確実な証跡が見つけられるのか、その要否判断が不可欠です。
ただ、フォレンジックのレポートを読み解くことができれば、サーバーやPCを初期化しないなど、ダウンタイムを極力減らした最小限の対策で被害を効果的に抑える──そういった「最小セキュリティ」の対策方法を見出すことができます。当社では、フォレンジックの要否判断やレポートの解釈といった役割を担い、ユーザー企業とフォレンジック会社を橋渡しできます。
ほとんどの脆弱性は“悪用不可能”!?
──これまで挙げられた課題をふまえて、あらためてお二人が考える「日本企業におけるセキュリティリスクに対する認識のあり方」についての見解をお願いします。
山本氏: 自社の情報資産の管理をきちんとできていない企業が多く、ネットワークの構成図にそもそも漏れがあるケースも見受けられます。まずは、自社のサーバーがそれぞれどのような情報を扱っていて、万が一情報が漏洩してしまった場合にはどこにどのようなリスクが生じるのかといった情報資産の管理を日頃から行うべきでしょう。また、日本国内であればある程度の統制が効いているためリスクは低いが、海外の子会社などでは統制が効きにくいなど、情報の所在によって対策が変わってくる可能性も考慮する必要があります。
横森氏: 私は、企業側が情報セキュリティに対して誤った先入観を持っているという傾向をセキュリティリスクと見ています。たとえばログ解析サービスを導入する場合に、”セキュリティは1箇所でも穴があればそこから侵入されてしまう”という考えのもと、経営者や上司に「あらゆる機器のすべてのログを取得して、半永久的に保存すべきだ」などと言われているのではないかと想像しますが、これではログ解析結果のレポートが膨大すぎてセキュリティ対策に活かすことが難しくなります。
本来のログ解析というのは、自社のネットワーク内からハッカーやマルウェアが目をつけやすい侵入経路に目星を付けて、そこからピンポイントにログを取得することが重要です。そうした最小限の情報と労力で最大限の安全を手に入れられる「最小セキュリティ」を理解している人がいないことこそが、日本における最大のセキュリティ課題ではないでしょうか。そうした背景から「多層防御」と言いながら、その実態は「重複防御」となっているケースが非常に多いのです。
山本氏: セキュリティ製品の「できること」と「できないこと」を見直すことが重要です。防御側は守るための仕組みを標準化しようとしますが、標準化された防御を突くような攻撃はセキュリティ製品だけで対応しきれないため、横森のような特化したスキルを持った技術者の出番になります。
横森氏: そもそもスキルのないハッカーは脆弱性に関連する悪性コードを利用するか、DoSのような単純な攻撃にとどまります。アノニマスのような一般的に脅威とされているハッカー集団であっても、その大半はDoSでのサービス停止を狙うものが多いことを私は確認しています。一方で高度な技術を持ったハッカーはゼロデイ公開されている前のいわば「ステルスデイ」の脅威を利用します。脆弱性がなくても攻撃可能なため、多くのセキュリティ製品を重ねてもその効果は期待できません。
いわゆる脆弱性診断サービスにも同じことが言えるでしょう。実はそこで診断される脆弱性のほとんどは、悪用が不可能なものばかりで、膨大な脆弱性リストになってしまいます。本当に悪用可能な脆弱性であるかどうかは、ペネトレーションテストを行わなければわかりません。すべての脆弱性を潰そうとするのでは、担当者は脆弱性パッチの適用に忙殺されてしまいます。
だからこそ、本当に悪用可能な脆弱性を見極めて対策する「最小セキュリティ」というアプローチへの転換が求められるのです。極端な話をすれば、私ならばたった2行のシグネチャー設定をWAFやIDSに組み入れるだけで、8割のサイバー攻撃は無効にできてしまいます。そのうえで、本当に危険な攻撃を阻止するための「最小セキュリティ」を実践していくことこそが、これからのセキュリティ対策には欠かせないと断言します。
[PR]提供:TIS
