ホーム > mixiニュース > IT・インターネット > IT総合 > インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは

インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは

0

2019年01月15日 10:43  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真ゲヒルン 代表取締役 さくらインターネット CISO/CSIRTの石森大貴氏
ゲヒルン 代表取締役 さくらインターネット CISO/CSIRTの石森大貴氏

 「日本をもっと安全に」をミッションに掲げるサイバーセキュリティ企業、ゲヒルン。さまざまな企業に潜む脆弱(ぜいじゃく)性を見つけてきた同社では、どんな知見が重ねられてきたのか。2010年に同社を立ち上げた石森大貴氏が、ITmedia エンタープライズ セキュリティセミナーで講演した。



【その他の画像】



 同社では、「防災情報の配信」「インフラ」そして「脆弱性診断サービスを中心とする情報セキュリティ」という3本柱でビジネスを展開してきた。2016年4月にさくらインターネットの傘下に入ってからも、独立した立場でグループCSIRTの運営や監査、脆弱性検査を行っている。



 「CSIRTとは、企業の中の消防隊という位置付け。いざ火事が起きたときに駆け付けるだけでなく、日頃から防火・防災のための活動や訓練、見回りを行うことがその大きな役割だ」(石森氏)



●防災とサイバーセキュリティの共通点とは?



 石森氏によれば、防災と情報セキュリティインシデントには「事故発生時だけでなく、平時からの取り組みが大切」という共通点がある。インシデントレスポンスに必要な4つの要素として、同氏は「組織」「スタッフの能力」「鮮度が高く、正確で過不足のない情報の取り扱い」「訓練・マニュアル整備などを通じた準備」を掲げる他、「組織内の風通しの良さも重要だ」と語る。



 情報セキュリティには、情報資産の管理から規定の整備、プライバシー保護、サイバー攻撃・犯罪対策などさまざまな要素が含まれ、ポリシー設計のような文系的な側面と、技術開発を進める理系的な側面、双方が必要だと石森氏は述べた。



 「『セキュリティとは、リスクをコントロールすること』と位置付けて、私たちは仕事に取り組んでいる」(石森氏)



 石森氏によれば、防災と情報セキュリティにはもう一つ共通点がある。地震や台風といった災害が起こること自体は止められないが、社会への影響や被害を減らすことは可能だという点だ。



 例えば、「防潮堤を設ける」といったハード面での対策に、「水があふれそうになる前に住民に情報を提供する」というソフト面での対策を組み合わせることで、仮に何らかの災害が起こっても被害を抑えられる。



 「サイバー攻撃が来ること自体は止められないが、その事象が起きても大丈夫なようにしておくのがCSIRTの役割。インシデントに対する許容力を高めるには、事前の備えが大切だ」と石森氏は語った。



 また、同氏は、さまざまな企業で脆弱性診断を重ねることで見えてきたという“盲点”についても言及した。



●脆弱性診断で見えてきた“意外な盲点”とは



 ゲヒルンでは現在、災害に備えた「お天気カメラ」の制作と配布、気象庁との専用回線を活用した気象情報提供といった防災面での事業と、脆弱性診断サービスを中心としたサイバーセキュリティ事業に積極的に取り組んでいる。



 同社による脆弱性診断の特徴は、アプリケーションそのものの診断に限らず、回線など物理的な事柄から人・経営に関わるレベルまで、さまざまなレイヤーにまたがった診断を実施し、解決策に向けた開発まで手掛けている点だ。



 石森氏は、さくらインターネットグループを対象にした脆弱性診断を例に挙げた。同社のコードリポジトリを巡回している際に、誰でも認証なしで取得できる「野良API」を発見したり、定期的なネットワークスキャンの際に、グローバルIPアドレスが割り当てられ、外部から誰でもアクセス可能なネットワーク機器を見つけたりしたそうだ。発見後の対策として、前者のケースでは、実装の方法やHTTPS化などのベストプラクティスとともに、認証の仕組みを実装するよう開発サイドに依頼し、後者では当該機器の使用停止を勧告した。



 「判断を下すのは、実際に運用や開発に携わっている人。CSIRTとしては、『こうやりなさい』と命令するのではなく、あくまで助言役というスタイルをとっている」(石森氏)



 その“第三者的”な視点が、開発者の目が届かないような場所にある脆弱性の発見につながることもある。例えば、ゲヒルンがあるクラウドソーシングサービスの中に任意のコマンドを実行できる脆弱性を見つけた際は、それが作り込まれたアプリケーション本体ではなく、アプリケーションが参照するライブラリに起因するものだったことが分かった。



 「開発者としては、普通に開発しているだけ。最初から脆弱性を見つけるつもりで検査しなければ、なかなか気付けない問題だろう」と石森氏は話す。



 他にも、コントロールパネルに脆弱性が見つかったり、覚えのないPHPファイルが置かれていて「バックドアか」と驚いたり、ホスティングシステムで仮想マシンから他人のディスクに接続できてしまう問題が見つかってリリース前に修正したり……と、日々さまざまな問題の解決に取り組んでいるという。



 さまざまなシステムを診断してきた経験を踏まえて、石森氏は、「脆弱性はアプリケーションだけでなく、実は、TLS設定の不備やアクセス権限の不備といった土台、インフラ側にもたくさんあるということを知ってほしい」と話す。



 同氏が最近多いと話すのが、ホスティングサービスをターゲットにしたDDoS攻撃だ。特に、NTPやDNSといったプロトコルの仕組みを悪用した増幅攻撃が目立つとのことだが、ゲヒルンではこれらに対抗すべく、CloudFlareの協力を得て最大15Tbpsに耐えるDNSサービスを実装した。



 「独立した会社としてさまざまな研究開発を行いつつ、医療における臨床と研究の関係のように、さくらインターネットの検査で得られた知見をフィードバックしている」(石森氏)



 今後も、日本をもっと安全にというミッションに向け、防災、インフラ、セキュリティのサービスを提供していくという石森氏。「キーワードは、現実的、合理的でなおかつ経営と密接に連携するということ。そして、CSIRT運営の秘訣は現実世界の防災や医療に学ぶこと」と呼び掛け、講演を締めくくった。


    あなたにおすすめ

    ニュース設定