セキュリティ対策は一通り実施したつもりでも、これで万全かというといま一つ自信が持てない。ならば、外部のセキュリティ専門家の手を借りて自社の状況を客観的にチェックしてもらい、「弱点」を見つけよう──ということで、脆弱性診断に加え、偽のサイバー攻撃をあえて受けることで対応力を試す「ぺネトレーションテスト」「レッドチーム演習」への注目が高まっている。デジタル庁が「政府情報システムにおける脆弱性診断導入ガイドライン」をまとめるなど、制度面での後押しも進んでいる。
ただ、何となく「うちもやったほうがいいのかな」というあいまいな理由だけで実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。Sansanなどの企業によるペネトレーションテストを支援するGMOサイバーセキュリティ byイエラエ(イエラエ)のサイフィエフ・ルスラン氏(サイバーセキュリティ事業本部執行役員)に尋ねた。
●診断を受けるのに必要なのは、セキュリティを高めたい「覚悟」
一口に「セキュリティ診断」といっても、内容はさまざまだ。
|
|
|
|
まず、Webサービスとして外部に提供するプロダクトの脆弱性をチェックする“Webアプリケーション診断”、社内のサーバなどプラットフォームを対象にスキャンを行って脆弱性を洗い出す“プラットフォーム診断”など、対象範囲の違いがある。
また、既知の脆弱性が存在しないかを一通り確認する「脆弱性診断」から、外部の攻撃者の視点で「管理者権限の奪取」「顧客情報の取得」といったゴールが達成できるかどうかを確認するペネトレーションテスト、そして組織全体を対象にあらゆる手段でテストを実施するレッドチーム演習など、目的や深さによっても違いがある。
その上この1〜2年で、さまざまなベンダーが「診断サービスを提供します」と発表している。その内容を見ると、同じ言葉で違うサービス内容だったり、逆にサービス名称は違っても似たような診断を行っていたりと、若干カオスな状態だ。
そんな中でこの種の診断サービスを利用する際、まず抑えるべきは「自社のセキュリティ対策はどのようなステージにあるかを知ることです」とルスラン氏は述べた。
これまで脆弱性診断を受けた経験があるかどうかに始まり、社内のセキュリティ体制はどうなっているか、アプリケーションやシステムはセキュリティを考慮して作られているのか、パッチの管理を実施しているのか──そういった事柄によって、自ずとどんなサービスを利用すべきかは変わってくる。
|
|
|
|
例えば、これまで定期的に脆弱性診断を受け、修正するサイクルをある程度確立してきた会社ならば、次はペネトレーションテストやレッドチーム演習にチャレンジするのは悪くない話だ。逆に、自社システムの資産管理すらできていない段階だったり、管理者権限のパスワードが容易に推測可能だったりする状態で本格的な診断を受けても、それ以前の問題が多すぎて話にならなくなってしまう。
ルスラン氏はこのように説明し、自社の現状をまず把握した上で、「どのような診断が一番刺さるか」を検討しなければならないと説明。そして、診断サービスを受けるに当たって一番求められるのは「覚悟」だと述べた。
「上から言われたからとか、レギュレーション上必要だからといった理由で診断を受けることもあります。しかし、『これまで予算を投じ、さまざまなセキュリティソリューションを導入したけれど、本当にそれは有効なのか。我々の把握していない穴はないか』という問題意識を持ち、自社のセキュリティを高めたいという覚悟を持つ会社ならば実施すべきだと思います」
●「自社にとって最も大事な資産」を特定することが前提に
では、覚悟を持った上で、診断を受ける際にはどのような準備が必要か。まず必要なのは、守るべき資産の特定とリスクアセスメントだとルスラン氏は述べた。いわば、セキュリティ対策の基本中の基本だ。
|
|
|
|
ルスラン氏によると、診断サービスを提供する側として一番大変なのは「自社にとって最も大事な資産は何か」が分からない会社が多いことだという。
例えば開発会社であればソースコードが重要な資産となるはずだ。他にも個人情報を抱えており、それらの流出は防ぎたい。また、ランサムウェア攻撃によって事業がストップしてしまうようなこともできるかぎり避けたいし、ブランド力が低下しても困る……という具合だ。日本の企業では「どれも大事ではない」か、「全部が大事」かの両極端になりがちという。
「何でもかんでも大事というわけではないはずです。最も大事なものは何か、絶対にやられてほしくないものかを決め、それがどのくらい価値があるのかを把握していく必要があります」
それが整理できれば、たとえ何らかのマルウェアに感染して一般社員の端末がおかしくなっても、攻撃者を特定し、追い出すことができるならばそれでもいい、という割り切り方もできる。そうした考え方に基づいて、リスクを管理していくことが重要と話す。
このように、重要な資産を特定し、それに対する攻撃モデルを考えることが、「そのリスクに対する対策はどうなっているか」を診断する前提というわけだ。
ここが整理できたら次に、どこにフォーカスしてどんな問題を炙り出したいのかを考える。ペネトレーションテストやレッドチーム演習の場合は、企業それぞれの成熟度や特徴に応じた「ゴール」を設定し、それに向けたシナリオを検討していく。
ペネトレーションテストなどではしばしば「管理者権限の取得」がゴールとされることが多い。管理者権限があれば、侵入後の攻撃者が動きやすくなるのは事実だ。だが、仮に管理者権限を取らなくても重要システムにアクセスできる環境でそれをゴールにしても、本質的な問題は炙り出せないだろう。
「もし不適切なゴールを設定してしまうと、本当は問題点があるのに診断結果は大丈夫と出て、『自分たちはうまくできている』と思い込んでしまうかもしれません」
ただ、あまりに構えすぎる必要はない。一度診断を実施して現状を明らかにし、改めて守るべき資産とリスクを明確にするやり方もある。結果を踏まえ、リスクは果たして高いのか、低いのか、修正すべきかどうか、設計から根本的に修正すべきかなどを検討し、対策を進めていくきっかけにできる。そうして対策を取ったら、また新たなシナリオを立て、別の角度から診断していくこともできるだろう。
いずれにせよ、ルスラン氏は「(診断などの)報告書は終わりではなく始まりです。このスタートラインに立つことではじめて問題がわかり、その上で何をやるべきかを考えることになります」とし、それが診断サービス全般を受ける際に留意すべきポイントの一つだとした。
●報告書の指摘事項だけに対応すればOKではない
診断サービスは万能ではない点にも注意が必要だ。
「我々は1週間から2週間といった限られた期間でしか対象システムを見ていません。このため、システムがなぜこのような設計になっており、なぜこのような運用がされているかも完全には把握できません」
一般論として「こうした設計は望ましくない」と指摘したり、推奨事項を提示することはできても、具体的な対策にまで踏み込むのは難しい場合もある。また修正内容も、短絡的に考えるべきではない。例えば、脆弱性が指摘されればパッチを当てて一件落着と考えがちだが、「システム全体を見渡すと、同種の問題が他にもあるかもしれない」という可能性も視野に入れ、設計の見直しのようなより根本的な対策を計画的に取るべきだとした。
また、ゴールの設定によっても、結果の受け止め方を考慮する必要がある。決して「指摘された事項だけ直せば大丈夫」とはならない。
「ゴールが適切でなければ、報告書に指摘された事項を直せば大丈夫ということにはなりません。報告書で提示されるのは、あくまで限られた時間内で我々が見つけた経路ですが、実際には他にも経路がある可能性があります」
診断で指摘できるのは、あくまで、ゴールがどのように達成されうるかという一つの可能性だけ。ペネトレーションテストは「良くも悪くもスナップショット的なもの」(ルスラン氏)であり、ゴールをどう守るべきか、会社全体のセキュリティがどうなっているかは、また別の問題であるとした。
また、一度診断を受けて終わりにするのではなく、中長期的な視点に立ち、診断・演習と修正を定期的に繰り返す形で継続していくべきだという。
「やるからには、毎年継続して実施すべきです。ゴールを毎回同じにするか、変更するかは企業によって異なると思いますが、仮に同じゴールを設定していても、その一年の間に新たな脆弱性が出てくる可能性もあれば、システムに変更が加わる可能性もあります」
こうした取り組みを数年にわたって積み重ねることで、セキュアな設計、パスワードの運用、パッチマネジメントやセキュリティ監視といった具合に対応を底上げしていくことができる。「自分たちはここまでやってきた」という自信が付けば、「それ以外の穴は残っていないか」をポジティブに確認できるようになっていく。
ちなみに、様々な診断を実施してきた経験から、「日本では、外部からパブリックなIPアドレスに対してスキャンをかけるネットワーク診断は長年実施されてきた印象があります。ただ、内部に入られてしまった場合のリスクへの備えはまだまだのようです。昔は、入られた途端に管理者権限を取られ、何でもできてしまうシステムもしばしばありました」とルスラン氏は述べた。
他にも、WebサイトやVPNなど外部に露出している部分のパッチマネジメントや認証に問題があったり、せっかく認証基盤を導入していても二段階認証を用いておらず、その上パスワードが容易に推測できるものだったり、資産管理が徹底しておらず誰が管理しているかもわからないVPN機器が存在していたり、内部ネットワークがフラットでセグメンテーションされていなかったり……と、「基本」が徹底されていないケースが散見されるという。
●「何をしたいか」「何ができるか」を基に互いに選ぶ姿勢で選定を
Webアプリケーション脆弱性診断のようにツールが充実している分野を除けば、診断サービスは外部に依頼して実施することが多い。だとしても、受ける側にも、全体像を理解しているセキュリティエンジニアが必要だとルスラン氏は述べた。
「まだ多くの会社では、報告書をきちんと読んで優先順位を付け、他に同様な脆弱性がないかを確認していける人材がいません。今後解決が必要な部分だと思います」
さらに、「何を対象にするか」「どんなリスクを確認するのか」、そして「どんな攻撃を想定して診断を実施できるのか」といった要件に基づいて診断ベンダーを選ぶべきだとした。
例えば、ドメイン管理者の権限を一時的に払い出してもらった上で設定を監査的にチェックしていくものもあれば、顧客の環境に実際に足を運んで診断する方法、さらには本物の攻撃さながらにリンク付きのメールを送り込むところから始める方法に至るまで、攻撃の始点や攻撃者のモデル、シナリオは色々と考えられる。また、EDRなどのセキュリティソリューションが導入されていることを前提にするのかどうかによってもテスト内容は変わってくる。どのステージでどこまでの診断ができるのかが、ベンダーを見極める一つのポイントになる。
診断の回数を重ねていけば徐々に指摘事項も減っていくが、「毎回何も出ない」となることはあり得ない。そうした場合には、異なるベンダーに依頼し、それまでとは異なる目線や考え方に基づいて診断をしてもらうのも一つの手だとした。
物理侵入まで何でもありのテストを実施したSansanなど、アグレッシブに演習を行うケースを耳にして、「自分たちも何か診断をやってみよう」と考えるのはいい考えだ。だが、物理的な侵入経路以外のところがボロボロのまま、同じシナリオを試してみても「やられましたね、ダメですね」だけで終わってしまう。それではもったいない。
「どれくらい新しい攻撃・侵入手法を考えるか、法律を守りながらどこまでバランスをとりつつ演習するかは、診断会社によって異なります。どのような診断をやりたいか、我々はどこまで覚悟ができているかを踏まえつつ、その診断会社はどこまで何ができるかを把握し、選ぶべきでしょう」
いずれにせよ、自社内がどうなっているを整理した上で診断を受け、現状を把握したらそれに基づいて設計を改善したり、ソリューションを導入したりして、「これである程度大丈夫だろう」と思えるようになったら、改めて計画通りに検知や対応ができるかをレッドチーム診断で試してみるといった具合に、段階的に進めていくことが望ましいだろう。その後も、変化する脅威や環境に合わせて、ゴール、あるいは手段を変えながら、常に自社を適切に疑いながら試し続ける視線が必要になるはずだ。
|
|
|
|
|
|
|
|
Copyright(C) 2024 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。
IT・インターネット
