ホーム > mixiニュース > IT・インターネット > IT総合 > 「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた

「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた

0

2019年03月20日 07:12  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真EGセキュアソリューションズの徳丸浩代表取締役
EGセキュアソリューションズの徳丸浩代表取締役

 年末年始、あるいは夏期休暇やゴールデンウイークなどの長期休暇で情報システム部門が手薄になる時期には、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)といったセキュリティ機関が休暇前後のセキュリティ対策を呼び掛けるのが通例ですが、2019年は一味違う備えが必要かもしれません。



『体系的に学ぶ安全なWebアプリケーションの作り方 第二版』では、第一版が出版された当時から大きく変化したセキュリティ情勢を反映したという



 というのも、2019年のゴールデンウイークには、皇位継承に伴って前例のない「10連休」が到来するためです。しかも情報システムの観点からは、「元号の変更とそれに伴うシステム改修」という、2000年問題以来の大きな課題も待ち受けています。



 予想の付かないこの事態を前に、情報システム部門やセキュリティ部門の担当者はどのように備えるべきでしょうか。「徳丸本」こと『体系的に学ぶ安全なWebアプリケーションの作り方』の著者であるEGセキュアソリューションズの代表取締役、徳丸浩氏に尋ねました。



●長期休暇に潜むリスクとは?



 徳丸氏は、「セキュリティという側面から見たとき、長期休暇には安全に働く方向と危険に働く方向の両方があります」と言います。



 「まず、今の多くの問題は、従業員が介在して起こる場合が多い。例えば標的型攻撃の大半は、メールの添付ファイルを開いてしまうことがトリガーになって起こります。すると、長期休暇で社員がいないということは、少なくともその間は問題は起きないということです」(徳丸氏)



 つまり、休暇中にメールで攻撃を受けた場合、休暇が明ければいずれ何らかの問題が生じるかもしれませんが、少なくともメールを開かない間は大丈夫、というわけです。



 一方でリスクもあるといいます。「システム要員がいない状況で怪しいメールを開いてしまうと、マルウェアに感染してしまい、しかもなかなか気付かないことになります。その上、休暇中でもサーバ類は動いていることが多いため、システム要員が対応する頃には感染PCからサーバが攻撃され、保存されていた機密情報を外部に持ち出された後、ということも起こり得るでしょう」(徳丸氏)



 そうしたリスクは、外部からの攻撃だけではありません。「見張りの目がなくなるのだから、内部犯にとっては天国のような状況とも言えます」と徳丸氏。故意ではなくても、“つい出来心で試してみたら、何と初期パスワードのまま運用されていたため上司や同僚のアカウントでログインできてしまった”なんてことが起こる可能性も考えられるといいます。



●改元対応に追われるIT部門、「詐欺」横行の可能性も



 例年、ゴールデンウイークのような長期休暇は、システムのメンテナンスに当てられることが少なくありません。世の中は10連休といっても、改元に伴うさまざまなシステム改修の確認や対応で「休むどころではなくがっつり出勤」という情報システム担当者もいることでしょう。



 「おそらく改元対応のためにさまざまなアップデートも走るので、仮に不正アクセスがなくてもトラブルが起こる可能性はあります」(徳丸氏)



 もちろん、内製が中心だった2000年問題当時とはシステムの作り方が大きく変わり、パッケージやクラウドサービスの採用が増えていることもあり、今回はそこまでの作業量は必要ないだろうと同氏は予測しています。



 けれど、新元号の発表から改元までの期間が1カ月と短い上、2000年問題当時のノウハウを知る世代の多くが現場を退いています。昨今の人手不足から、情報システム部門全体の組織としての力が落ちていることを考えると、何らかのトラブルが起こる可能性は十分にあります。



 「(移行)期間の短さを考えると、システム改修に当たってリハーサルまでやり切れるところは少ないでしょう。やむを得ず仮置きのデータでテストすることになるでしょうが、それはそれで本番環境に仮置きデータが残るといった事故が起きる可能性があります」(徳丸氏)



 もう一つの注意点は、改元という一大イベントに合わせて、多くの詐欺が横行する可能性だと同氏は指摘します。「例えば、『Microsoftが元号変更用のアップデートに失敗したので、至急こちらのアップデートを適用してください』といった内容で誘導を図れば、Microsoftが最近アップデートに失敗していることもあり、引っ掛かってしまう人は多いのではないでしょうか」と同氏は語り、注意深く対処する必要があると強調しました。



●やることはシンプル、基本に忠実にポリシーと連絡体制の確認を



 では、攻撃や内部犯行、改元にまつわる障害といったさまざまな可能性に備え、情報システム部門はどんな準備を進めるべきでしょうか。



 徳丸氏はまずセキュリティの観点から、「やはりポリシーをちゃんと守ることです」と話します。



 「長期休暇となると、社員が勝手にノートPCを持って帰ってしまうことがあります。何も不純な動機からではなく、仕事熱心な人、責任感のある人ほどやりやすいのですが、やはり自宅など通常とは異なる環境で使うと、企業システム内で使う場合に比べて防御が弱く、攻撃にやられやすくなるかもしれません。また、家族が使っているPCがウイルスに感染していて、そこから波及する、といったことも考えられます」(徳丸氏)



 このリスクを踏まえ、同氏は、「休暇前にもう一度ポリシーを確認し、もし持ち出しが必要であれば許可を取り、安全な方法でできるようにすることが大切だ」と語ります。



 もう一つ、特にECサイトなどを運営している場合に必要なのは、いざというときの連絡体制と意思決定プロセスの確認です。「もしWannaCryのようなインシデントが発生したらどうするかを考え、情報収集担当者をアサインし、連絡体制を整えておくことです」(徳丸氏)



 最近も、Webサイトが改ざんされてクレジットカード情報が漏れた事件がありました。「このケースでは、実は早くに不審なファイルを見つけていたにもかかわらずサイトの稼働を続けたために、被害が拡大してしまいました」と徳丸氏は指摘します。



 「仮に何か不審な兆候に気付いた場合、最終的にはセキュリティの専門家に任せることになるかもしれませんが、それまでの間Webサイトを止めるにしても、『停止には部長の決裁が必要』といったルールがあると、休暇中に部長に連絡してもいいのかどうかためらってしまい、その間に被害が拡大してしまうことがあります。逆にルールが決まっていれば、それに従って淡々と連絡を取ればいいだけです」(徳丸氏)



 意思決定プロセスをきちんと設定し、確認しておくことは、改ざん対策だけでなくDDoS攻撃対策でも重要だといいます。



 「DDoS攻撃だけは『許容する』という選択肢があるので、特にポリシーを決めておくことが大事です。諦めるのか、ある程度頑張るのかを攻撃が来始めてから考えていても遅いので、事前に決めて準備しておくことが大事です」(徳丸氏)



●「もし、管理者に連絡がつかなかったら」を想定したシナリオも有効



 さらに踏み込んで、意思決定権限を持つ人に連絡がつかない可能性も考慮し、「ここまで来たらこうする」と、現場の裁量でもある程度できることを決めておくべきだと同氏は語ります。また、せっかく連絡網を作っても、内容が古くなっている可能性もあります。災害時の連絡体制なども参考に、緊急連絡先を確認しておくことが必要でしょう。



 「あとは、よく言われる通り、基本を徹底することです。PCもそうですし、Webサーバについては休暇中はしばらく無防備な状態になるため、パッチを適用しておくなど、できることは休みの前にやっておくべきでしょう」(徳丸氏)



 もちろん中には「パッチを適用すべきことは分かっているけれど、人や予算が付かないのでひとまず先送り」というケースもあるでしょう。けれど、Apache Struts 2のケースのように、脆弱(ぜいじゃく)性が発覚してから攻撃に悪用されるまでの期間の短さ、攻撃によるインパクトの大きさを考えると、「いざというときのために予備費を見込んでおく」といった奥の手を検討するのも有効だそうです。



 ちなみに、危険な攻撃や脆弱性は、なぜか休日や週末に到来することが多い――。多少バイアスがかかっているかもしれませんが、それが徳丸氏の率直な印象だそうです。



 徳丸氏は「攻撃側もさまざまなので、事前にどんな攻撃が来るかを予想するのは難しい」とした上で、「強いて挙げれば、WordPressのプラグイン回りにはぜひ注意を払ってほしい」と語りました。



 「WordPressを利用している企業は多く、それ自体はそんなに脆弱性が頻繁に発覚しているわけではありません。ですがプラグインのセキュリティは非常にひどい状況で、不要なものは外すべきです。サイトの見た目の問題などで外すわけにもいかないプラグインについては、せめて脆弱性を監視しておくべきでしょう



 (ゼロデイ脆弱性のような)突拍子もない攻撃に対処できないのは仕方ないことだと思います。けれど、そんな攻撃はそう多くはありません。セキュリティ事故が起こったときに一番多い後悔は『基本に忠実にやっておけば』ということです」(徳丸氏)



●Webアプリケーションを安全に作るための最新ポイント



 徳丸氏といえば、Webアプリケーションセキュリティの第一人者です。2018年には、「OWASP Top10 2017」などの新たな項目を踏まえた『体系的に学ぶ安全なWebアプリケーションの作り方 第二版』が出版されました。



 「第二版では、最近のWebの作りを踏まえ、Web APIとJavaScript、CORS(Cross-Origin Resource Sharing:オリジン間リソース共有)についてきっちり説明しました」と徳丸氏。OWASP Top10 2017に新たに加わった「XXE(XML External Entity)」と「安全でないデシリアライゼーション」についても、紙幅を割いて説明しています。



 特に後者はこれまであまり日本では注目されてこなかった問題ですが、「以前、ブログ記事で安全でないデシリアライゼーションの問題があるWordPress向けプラグインを取り上げたのですが、そのプラグインには、以前にも同じ種類の脆弱性が含まれているという前科がありました。サイトを作る側からすると、プラグインの選定と、使っているときの脆弱性管理が大事になるでしょう」(徳丸氏)。



 なお徳丸本では、パスワードの管理についても説明しています。最近、ファイル共有サービスが不正アクセスを受け、平文で保存されていたパスワードが漏えいする事件が発生したばかりですが、「平文のままパスワードを保存しているサービスは、実は他にも結構残っていると思います」と徳丸氏は語ります。



 「初版を執筆した2010年当時は、『どのようにWebサイトのパスワードを保護すべきか』という方法論が確立しておらず、日本語で参考になる文書もなかったため、英文の文書を参考にしながらまとめた覚えがあります。



 もう一つ大きいのは、その時点ではパスワードリスト攻撃が流行っていなかったことです。例えば、2011年のゴールデンウイーク前に起こったプレイステーションネットワーク(PSN)に対する攻撃では、一時的とはいえ『漏えいしたパスワードがもともと平文で保存されていた』という情報が出回り(のちにハッシュ値による保存と訂正)、注目が高まりました。それ以前からの古いシステムでは、けっこうまだ平文パスワードがあるのではないでしょうか」(徳丸氏)



 一方で、ヤフーのようにパスワードを使わない方式を採用するサイトも登場し始めましたが、「見よう見まねで形だけまねても、危険な実装になる恐れがあります。ある程度方法論が確立してからでも遅くはないのではないでしょうか」と徳丸氏は述べ、確立されたベストプラクティスを実践することが大切だと呼び掛けました。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定