ここから本文です

マルウェアにやられてしまう時代のセキュリティ防御

ITmedia エンタープライズ 9/28(水) 10:13配信

 従来のセキュリティ対策の方針は、飛んでくる攻撃の全てを防ぐことで企業ネットワークの安全性を保つというものでした。現在、この方針は非常に厳しい局面に立たされています。

【その他の画像】

 前回解説した通り、攻撃サイドから送られてくるマルウェアに対して、アンチウイルスソフトがその全てを検知し、駆除することが困難になりました。今までの考え方では、うまくいかないのです。この状況は、どんなアンチウイルスソフトをインストールしても、あまり変わりません。企業システムの運営に携わる皆さんはきちんとアップデートしていても、年間に数回は自社・関係者など身近なところのPCが感染してしまうという状況を、なんとなく感じているのはないでしょうか。

 つまり、いまのサイバー攻撃対策は「やられてしまうこと」を前提とした方針のもとに計画する必要があります。サイバー攻撃対策では何に注力し、何を保護すれば効果的なのかを考えなければなりません。

●従来とこれからのセキュリティ防御の違い

 これまで、「ネットワークがセキュリティの境界線である」と考えられてきました。その根拠は、「インターネットは危険だが、イントラネットは安全」というものです。企業ネットワークとインターネットの間には、ファイアウォールや侵入検知システムなど、多くのセキュリティ対策製品やアプライアンスが導入され、インターネット側にある攻撃やマルウェアといった脅威が、そもそも通信として入ってくることはないと思われていました。

 しかし現在は、ネットワークの境界でサイバー攻撃を食い止めることが非常に難しくなりました。マルウェアに感染したイントラネット内部のエンドポイント(PCやサーバなど)は、外部からリモートコントロールが可能であり、社内のネットワークを縦横無尽にアクセスできます。

 社内向けのシステムは、インターネット向けのシステムほどにはセキュリティの保護がなされていないでしょう。また、脆弱性も“たっぷり”存在していると思います。このような状況のシステムは、リモートコントロールが可能になったエンドポイントからもインターネットのWebサイトにしかけるのと同様の攻撃が可能です。そのきっかけになるは、やはりマルウェアの社内への侵入を食い止めることはできない状況なのです。

 現在の“セキュリティの境界線”は何でしょうか。それはネットワーク層ではないところに存在する「ID」、すなわちユーザーIDなどの資格情報と、エンドポイントの端末、そしてデータです。保護のために注力すべきはこれら3つであり、効果的です。今回は、このうちの「ID」の保護について少し解説したいと思います。

●攻撃から「ID」をどう守る?

 社内システムへの侵入を意図したサイバー攻撃では、「水平移動」と呼ばれるような動きがよく見られます。例えば、一台の端末に対してサイバー攻撃が成功すると、その端末から「ID」を抜き出します。さらに、そこで奪取したIDを使って近隣の他の端末へ攻撃対象を移動し、次々と占領していきます。こうすることで、たった一台に対する攻撃の成功が、同じネットワークに存在する他の多くの端末の攻撃の成功につながっていきます。

 ここでは、それぞれのIDをしっかりと保護されていれば、仮に一台の端末を攻撃されても被害をこの一台に抑えられるというわけです。クラウドを利用している環境もIDの保護は非常に重要です。例えば、サーバやサービスの管理者のIDなど認証情報や、APIキーが盗まれてしまったとしたら、そのダメージは甚大です。

 IDを守るさまざまな方法がありますが、わたしたちの観察では、特にエンドポイントのPCなどの端末に関して、「共通のIDとパスワードを利用した運用をやめる」ということが最も有効なポイントであると分かりました。

 これを聞いて読者の皆さんはどう感じますか? 「当社では一人ひとりにIDを割り当てているから大丈夫」と思われたことでしょう。しかし、その場合でも注意してほしい点があります。それはPCなどのキッティングで使うIDです。

 キッティングする際の手順書に、キッティング用のIDとパスワードが固定で記されていることは珍しくありません。その通りに実施すれば、同様のIDとパスワードを利用することになります。つまり、キッティング作業時に利用したIDとそのパスワードが共通であり、そのアカウント情報が従業員に配布した端末の中に残されていたり、そのIDを利用したシステムが動いたりしているケースをかなり多く目にします。この場合、一台の端末が攻撃されてキッティングで利用しているIDとパスワードが盗まれ、悪いことに他の全ての端末でも同じだったとすれば、それらのIDを見抜くことは容易です。

 このIDを他の端末に対して利用できるとなると、水平攻撃に有効だと攻撃者は容易に理解します。やがて、もっと多くの、悪くすれば全台数があっという間に攻撃者に乗っ取られてしまうでしょう。

 このように、「共通のIDとパスワードを利用した運用」をやめるためには、キッティングに利用しているIDのレベルから気を付けて運用することが大切であり、セキュリティレベルを上げることができます。また、他の端末やデータに関しては、結局はネットワーク層やサーバ単位でさまざまな対策を実施したとしても、このように攻撃者に対策の隙間を通り抜けられる可能性があります。そのため、攻撃の主要な着弾点はエンドポイントの端末になります。

 次は、このエンドポイントでのセキュリティと、業務のバランスをどう考えるかという話題を扱いたいと思います。

・サイバーセキュリティ~ハッキングと防御 ビギナー編~

●執筆者紹介

岡田良太郎(おかだりょうたろう)

ビジネス活動にセキュリティを実現するコンセプト「Enabling Security」を掲げ、技術とビジネスの両方の視点からリサーチコンサルティングに従事。WASForum Hardening Projectのオーガナイザを務める。ビジネス・ブレークスルー大学「教養としてのサイバーセキュリティ」講師、IPA 10大脅威選考委員、総務省CYDER分科会委員など公共活動にも従事。公認情報システム監査人、MBAを保持。

蔵本雄一(くらもとゆういち)

筑波大学非常勤講師、日本CISO協会主任研究員、公認情報セキュリティ監査人、CISSP。プログラミング、侵入テスト、セキュリティ監査、セキュリティマネジメントなど、セキュリティ対策の上流から下流工程まで幅広くカバーする活動を中心に、近年は経営層への普及活動を行う。近著は「もしも社長がセキュリティ対策を聞いてきたら」(日経BP社刊)。その他執筆、講演など多数。

最終更新:9/28(水) 10:13

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]