ここから本文です

連日の「深刻な脆弱性」の報道から何を得て、情報をいかに咀嚼していくべきなのか

10/6(金) 8:00配信

@IT

 @ITは、2017年8月にセミナー『連日の「深刻な脆弱(ぜいじゃく)性」どう向き合い、どう対応するか』を東京で開催した。本稿では、多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けする。

●WannaCryから数カ月、一連の報道から得られる教訓とは?

 多くの企業のセキュリティ担当者は、ベンダーから得られる情報の他、ニュースや脆弱性情報を集約するサイトを通じて脆弱性情報を把握し、対応に取り組んでいることだろう。自社システムをよりよく守るために、どのようにこれらの情報を受け止め、生かすべきだろうか?

 「セキュリティリサーチャーズ脆弱性ナイト(世界のどこかはきっと夜)」と題するパネルディスカッションでは、根岸征史氏(インターネットイニシアティブ)、辻伸弘氏(ソフトバンク・テクノロジー)、piyokango氏という日本を代表するセキュリティリサーチャー3人がそのヒントを紹介した。

 2017年前半、世界各地に被害をもたらしたランサムウェア「WannaCry」を巡っては、一時期非常に多くの報道があった。最近でこそ報道は沈静化したが、「そこから得られる教訓はたくさんある」と根岸氏は振り返った。

 辻氏は「大きな騒ぎになった事件を見ると、話題やニュースのピークと、実際の攻撃のピークがリンクしていないことがある。ニュースのトーンが下がった後も攻撃はまだ終わっていないことがあるし、その逆もある」と問題を提起した。

 その端的な例がWannaCryだ。「話題になったのは2017年5月だが、予兆は1月ごろからあった」(piyokango氏)。WannaCryはWindowsの脆弱性を悪用して拡散したが、その脆弱性を修正するパッチは3月に公開されていた。こうした状況を踏まえると「きちんと計画的にパッチを当てていれば、2カ月間の猶予の間に防げた可能性は高い。また、脆弱性を悪用して自動的に感染させる攻撃コードが公開されたのは4月のことで、そこから数えても猶予は1カ月あった。何がしかの対応をしなければまずいという信号は以前からあった」と根岸氏は指摘した。辻氏も「大騒ぎになったのは5月半ばだったが、それ以前に大々的に注意を呼び掛けられたタイミングは幾つかあったのではないか」と振り返った。

 ニュースになった後も課題は残る。WannaCryに続いて、同じ脆弱性を悪用する別のマルウェア「Petya」が登場し、やはり大きな被害をもたらした。「あれだけの騒ぎがあったのに、1カ月たってもまだ同じ被害に遭う組織がある。根の深い問題だと感じた」(辻氏)。

 根岸氏によると、「6月から8月にかけて、IIJではいまだにこの脆弱性を狙う攻撃を観測しており、今なお非常な勢いで広がっている。中には感染していることに気付いていないケースがあるのではないか」という。

 これだけ騒ぎになった後でもなお感染が起こっている背後には、「インターネットに直接接続していないと思い込んでいた」「持ち出し・持ち込みPCなど感染経路の想定が甘かった」などの可能性が考えられる。いずれにせよ「起きる前の対応体制に加え、感染が起きたとしても何とかするための体制を整え、『もし同じことが起きたら自分たちは大丈夫か』と考えるところにWannaCryからの学びがあるのではないか」と根岸氏は一連の事件を振り返った。

○受け取った脆弱性情報、咀嚼(そしゃく)のポイントは?

 piyokango氏は「ニュースになると、どこか人ごとのように見てしまいがちだ。確かに脆弱性の情報を100%フォローするのは大変だが、後手に回ると対応が遅れてしまう。脆弱性をチェックする立場にある人は、脆弱性情報を意識して見るようにし、『うちに影響がありそうだな』と引っ掛かりを持てる感度を保つ方がいい」と述べた。

 その大前提として必要になるのが「自分たちが使っているものを把握すること」(根岸氏)。辻氏も「情報セキュリティは情報管理の上に成り立つ」と述べ、どこにどんなソフトウェアがあり、どのようにつながっているか、またもし分からなければ誰に聞けば分かるのかを整理しておくことが重要だとした。

 その上で課題となるのが、「脆弱性情報を把握したとして、それが自分たちの組織やシステムにどんな影響を与えるかの判断が難しい」ということだ。ベンダー側の脆弱性情報に「緊急」と書かれていた場合、本当に今すぐ対応すべきなのか、それとも少しは猶予があるのか。リソースが限られている中、どのタイミングで対応すべきか判断を下すのは非常に難しい。

 辻氏は1つの考え方として、「例えば、インターネットに直接つながっていない場合は、優先度を下げてもいいと思う。脆弱性の深刻さを示す指標として有名なものが『CVSS(Common Vulnerability Scoring System)』だが、実は複数の基準で構成されていることはあまり知られておらず、ニュースでも大抵は『基本評価基準』の数値が報じられる。しかし僕が気にするのは、Exploitability(攻撃される可能性)だ。基本評価基準の数値が高くても、攻撃方法が難しく、実際に攻撃を食らう可能性が低ければどうということはないし、逆に、基本評価基準の数値が低くても、既に攻撃方法が存在するもの、攻撃コードが公開されているものは注意するようにしている」と述べた。

 これを受けて根岸氏は「点数だけでは全ては測れない」と述べつつも、脆弱性を巡る情勢は日々変化しており、特に攻撃コードについては、いつ、どのタイミングで出てくるか分からず、把握が難しいことを指摘した。

 この問題に対する1つの方法は「Twitterで当該CVEを検索すること。また、Exploit DBやCVE Detailsといったサイトの情報も役に立つ」と辻氏は説明し、「難しいとは思うが、ぜひユーザーの皆さんにも見てほしい。ベンダー依存ではなく、自分たちでも情報を集める術を持ってほしい」と呼び掛けた。

 では「piyolog」ではどうやって情報を集め、まとめ、公開しているのだろうか。piyokango氏は、根岸氏のブログ投稿を見て自分なりにやり方を咀嚼し、実践してきたそうだ。基本は「報道を取っ掛かりにして調べ、徐々に知りたい範囲を狭めていく。また、Twitterでセキュリティ情報を積極的に投稿している人やトピックに詳しそうな人を探し、その人がどんなWebサイトを見ているかなどやり方を参考にしつつ、自分にとって最適な方法を模索している」という。

 種明かししてもらうと非常に地道な作業だが、根岸氏も「ここだけ見ておけばOK、というような情報ソースはないし、時にはまとめ情報の中に誤りが含まれることもある。そのことを織り込んで、当事者全員がどのように情報収集していくかを考えていかなければいけない」と述べた。

 1人CSIRTで情報発信している辻氏も、「最終的に守るのは自分たちのシステム。そのため、専門家の言っていることを受け止め、一歩踏み出すきっかけになればいいなと思っている」と述べ、パネルディスカッションを締めくくった。

●「カイゼン」に不可欠なデジタル化を支える「セキュリティ」、GEの実践とは

 GEデジタルでインダストリアル インターネット推進本部 プラットフォーム・OTセキュリティ 事業開発部長を務めるトリワイ・チョンチャナ氏は、「工場・産業制御システムにおける脆弱性対策――OTセキュリティ防御の観点」と題する特別講演を通じて、OT(Operational Technology)の世界で起こりつつある変革と、その中でセキュリティが果たすべき役割を解説した。

 「インダストリアルインターネット」というビジョンを掲げ、さまざまな産業機器やセンサーからネットワークを介して収集したデータを最先端のソフトウェアで解析し、その結果を現場で働く人々や設計にフィードバックすることで、より高度なサービス、より高い生産性を実現しようと試みているゼネラル・エレクトリック(GE)。チョンチャナ氏によると、このビジョンの背後には、「生産性や業務効率の向上に向けてできることは、アナログの世界ではやり尽くした。これ以上伸ばしていくには、『デジタルの力』が不可欠だ」という考え方があるという。

 GEでは工場の中はもちろん、エッジに位置するユーザーやサプライチェーンも含めたライフサイクルにまたがってデータを取得し、そこから得られた知見を設計などにフィードバックすることで、プロセスの最適化を図ろうとしている。世界約400カ所の工場のうち既に70拠点がインターネットにつながっており、今後も全工場に拡大する計画だ。そのための共通基盤「Predix」も提供するなど、産業機器に特化した形でInternet of Things(IoT)推進に取り組んできた。

 その中で課題となるのが「セキュリティ」だ。一切インターネットに接続しなければ安全は保てるだろうが、効率の向上は見込めない。「米国やヨーロッパでは、『つながないとこれ以上のカイゼンはできない。だからこそ高度なセキュリティを実現しなくてはならない』という考え方が主流になっている。『Shodan』で検索すると、日本ではつないでいる機器が少ないせいか『真っ暗』な状態だが、日本でもこうした取り組みを進めるべきではないか」(チョンチャナ氏)

 では、OTをネットワークにつなぐと、どのような脅威が考えられるだろうか。実は、ウイルス感染によって工場のオペレーションが影響を受けるセキュリティインシデントは、古くは1980年代から発生していた。ただ多くは「Conficker」のようにワーム感染によってITシステムのネットワーク帯域が圧迫され、稼働に影響が生じるという形だったという。「しかしStuxnetの出現によって状況は変わった。OTの脆弱性を突き、物理的な被害をもたらす恐れが出てきた。これを踏まえて『何をしなくてはならないか』という議論が始まった」(チョンチャナ氏)

 OTの場合、たとえ脆弱性を修正するためのパッチ適用という形であっても、システムに何らかの変更を加えると停止してしまい、億単位の損害が生じる恐れがある。それだけの損害を引き受け、パッチ適用の責任を取れる人はまずいないが、仮に脆弱性を突かれて何かインシデントが起こっても大規模な被害が生じる。ならば、セキュリティ対策に数千万支払ってもいいと考える会社も増えている。GEもそんなポジティブな会社の1つだ。

 では、GEではどんな対策を取っているのだろうか。「OTである以上、何はともあれ機械を止めるわけにはいかない。そこで、入口、前側を固める対策よりも、もっと後ろの部分に目を向けている」とチョンチャナ氏は述べた。

 「インシデントが起きてもできるだけ早く対応できるように、自分たちの持っているデバイスがどんなもので、どんな脆弱性があるかを把握すべきだ。また対応の優先度を付けるため、イベントの監視やアセスメントを行うことも推奨している」(チョンチャナ氏)。日本ではしばしば、「エアギャップがあり安全だ」といわれるが、実際にはCDやUSBメモリなどによるデータの授受や解析が行われており、「物理的につながっていないことと、論理的につながってないことがごっちゃにされているのではないか」とも指摘する。

 長らく産業機器は「つないでくる人は、皆、良い人」という性善説で作られてきた。それ故か、2010年以降、OTに存在する脆弱性情報は増加の一途をたどっている。

 GEでもPLCやSCADA/HMIといった産業機器を提供しているが、「フィールド出荷後はパッチを当ててもらうことは難しいので、出荷前にできるだけテストや診断を行い、問題を修正してから出荷するようにしている」(チョンチャナ氏)。「GEとしてきちんとセキュリティに取り組み、安心して使えることがビジネスドライブのキーになる」という考え方の下、OTに特化した脆弱性診断やファジングを活用しているという。

 「外に出したときにお客さまに迷惑が掛からないように診断し、対応し、継続してモニタリングし、セキュアなインダストリアルインターネットを実現していきたい」(チョンチャナ氏)。そのためのノウハウも積極的に提供していきたいという。

●多層防御とパッチ管理の自動化でCSIRT運用を支援――ネットブレインズ

 ネットブレインズ ソリューション事業部 事業部長の矢木眞也氏は、「脆弱性対応とインシデントレスポンスの自動化ソリューション」と題するセッションにおいて、脆弱性対応を通じてインシデント予防に務めるとともに、いざというときには事象を分析し、初期対応に当たるCSIRTの仕事は多岐にわたることを説明した。

 CSIRTは脆弱性情報を収集し、脅威の大きさを判断し、リスクを除去したり緩和したりする作業に取り組み、注意喚起を行うが、この「対処」にもさまざまなアプローチがある。既知の脅威であれば、アンチウイルスやWebフィルタリング、スパムメール対策や不正侵入検知、防御(IDS/IPS)を組み合わせた「多層防御」で、かなりの程度リスクを減らすことができる。一方、シグネチャなどが用意されていない未知の脅威については、個々のクライアントPCを管理し、パッチを速やかに適用することが重要だ。

 矢木氏は、UTMアプライアンスの「WatchGuard」によって多層防御を、またゾーホージャパンの「ManageEngine Desktop Central」によって資産管理と最新パッチの適用、ソフトウェア配布といった作業を一元的に実現できると説明した。「WannaCryは、パッチ適用さえしていれば感染しなかった。ManageEngine Desktop Centralはパッチを自動で適用し、適用し忘れをなくす」(矢木氏)

 矢木氏は最後に、情報の流れを一元管理する「ManageEngine SecriceDesk Plus」によってアラートを整理し、分析・トリアージ作業を支援できると説明。「人手に頼っていては手間が掛かる。各ステップにツールをうまく組み込むことで、CSIRTの運用が楽になる」とした。さらに、WatchGuardの新機能、「WatchGuard Threat Detection and Response(TDR)」を組み合わせれば、クラウド上で行った相関分析の結果に基づき、振る舞い検知でランサムウェアなど新たなマルウェアに自動的に対応し、インシデントレスポンスを自動化できると説明した。

●変化するITインフラに応じて脆弱性スキャナーも変化――テナブル ネットワーク セキュリティ

 国内外を問わず広く使われている脆弱性スキャナー「Nessus Professional」(Nessus)で知られるテナブル ネットワーク セキュリティ(テナブル)。同社のシニアシステムエンジニア、花檀明伸氏は「脆弱性対策の現状とこれから~進化するインフラ、高度化するサイバー攻撃への適応~」と題するセッションで、「攻撃の種類にかかわらず、根本的にサイバー攻撃に対する耐性を高めるソリューション」としての脆弱性管理の重要性を訴えた。

 Nessusは、インターネットを介して攻撃者と同じ視点で脆弱性をスキャンする「外部スキャン」、診断対象にログインして内部コマンドを利用し、多方面で脆弱性をチェックする「内部スキャン」、どちらにも活用できる。「外部スキャンと内部スキャンを合わせて実施することで、次の次元の脆弱性対策が実現できる」(花檀氏)。テナブルではこうした検査を支援するため、オンプレミスで利用する「SecurityCenter」と、クラウドサービスの「Tenable.io」という2つのソリューションを用意しており、Tenable.ioについては近々日本語化する予定だ。

 花檀氏は「インフラが進化し続ける中、脆弱性管理もその変化に追随しなくてはならない」と述べ、その解決策として「Continuous Monitoring(継続的監視)」というアプローチを提案していると説明した。

 Nessusを用いたアクティブスキャンでは「詳細な情報が取れるが、あくまで定期実行だ。つまり、検査の翌日に見つかった脆弱性はその後数カ月放置されるというインターバルが発生してしまう」(花檀氏)。そこで「継続的な監視が必要になることから、パッシブスキャナーの提供を開始した。ミラーポートからトラフィックのコピーをもらい、解析することによって、各エンドポイントが持つ脆弱性を解析できる。アクティブスキャンに比べると見つけられる脆弱性は限られるが、24時間365日、リアルタイムにチェックし、高いレベルでの脆弱性管理が可能になる」という。

 テナブルはさらに、WebアプリケーションやIoTデバイスに特化した脆弱性管理を提供する他、仮想マシンやコンテナといった新たなインフラについても脆弱性をチェックできるよう、ソリューションを強化。例えばパブリッククラウド環境において、ライブマイグレーションで頻繁にIPアドレスが変わっても内部スキャンを行えるようにするなど、進化するインフラに対応し続けるという。

●脆弱性管理と改ざん検知の合わせ技でより安全な環境を――トリップワイヤ

 「さまざまな攻撃が話題になるが、まず考えるべきは『何を守らなければならないか』だ。資産はサーバやPCといったエンドポイントに集中しており、ここを守らなければならない」――トリップワイヤ・ジャパン(トリップワイヤ)の営業本部シニア・セールスエンジニア、中野貴之氏は、「既知の脆弱性から確実に守るために…Tripwire IP360のご紹介」と題するセッションで来場者にこのように呼び掛けた。

 エンドポイントを守るならば、その前提として「何台エンドポイントがあるか」「そこにどんな資産があるか」「どんなリスクがあるか」を把握しなければならない。「つまり、エンドポイントに関する情報が必要だが、有事の際に慌てて集めようとしてもうまくいかないのが常。事前に洗い出し、必要であればどう対応するか訓練しておくことが重要だ」と中野氏は述べた。

 往々にして、システム内部にあるエンドポイントは「外に直接面していないからリスクは小さい」と考えられがちだ。しかしこれは誤りだと中野氏は指摘した。「つながっていないから大丈夫という考え方はもう通用しない。100%のセキュリティ対策は存在しない。攻撃を受けてしまう可能性を前提に、何が起きているかをいち早く認識することが重要なポイントになる」(中野氏)

 その有効な手段が、システムのどこにどんなリスクがあるかを把握する「脆弱性管理」と、何かあったときにいち早く検出、確認する「改ざん検知」だ。特に脆弱性管理については「既知の脆弱性対策を採っていれば、サイバー攻撃の85%は防ぐことができたという調査がある。一方で脆弱性報告は後を絶たない。自社システムにどんな脆弱性があり、どう対応しているかが見えていない状況では対策が難しい」と中野氏は説明し、その典型例がWannaCryだとした。「騒ぎになったのは2017年5月上旬だが、パッチは3月中旬に公開されていた。だが、セキュリティ対策がしっかりしているだろうと思われる企業でも、パッチが適用されず、甚大な被害が生じた」(中野氏)

 トリップワイヤでは、「どんな脆弱性があるか」を、優先順位付けを助けるスコアとともに示し、対処方法も表示する脆弱性管理ツール「IP360」と、ファイルシステムやネットワーク機器、データベースなど多彩な機器を監視し、予定された変更か否かを監視する「Tripwire Enterprise」を提供している。脆弱性の把握によってリスクを可視化し、変更を検知して今システムで何が起きているかを理解するといった具合に2つの製品でサイクルを作ることで「より安全性を高めてほしい」と中野氏は呼び掛けた。

●「パッチ適用」を単なるルールからシステムに落とし込む――PFU

 PFUのセキュリティエヴァンゲリスト、小出和弘氏は、「今求められるサイバーセキュリティ対策とは?~効率的な脆弱性対策/セキュリティ運用の実現に向けて~」と題する講演において、2017年5月に大きな話題となったWannaCryを振り返った。ランサムウェアは、情報処理推進機構(IPA)の十大脅威の1つとしても取り上げられている。その一種であるWannaCryはWindowsのファイル共有に用いられるSMBプロトコルを介し、脆弱性を突いて感染を広げるが、「事件の前、3月中旬にマイクロソフトが更新プログラムを公開していた。にもかかわらず、2カ月の間に適用しなかったことに原因がある」と小出氏は述べた。

 「ここから分かる課題は2つある。1つは、全ての端末の状況を把握できていないことだ。しかもOSだけではなくOfficeなどのアプリケーションも対象に含めなければならない。もう1つは全ての利用者がパッチの更新を徹底できていないことだ。だがルールを定めるだけでは対策の徹底は難しい」(小出氏)

 PFUではこうした課題を踏まえ、端末の脆弱性対策を徹底するためのソリューションとして「iNetSec Inspection Center」を提供している。端末がネットワークに接続する前に「OSやアプリケーションのパッチが適用されているか」「ウイルス対策ソフトの設定ができているか」といった事柄をチェックし、管理者に代わって対応を促す仕組みだ。ルールを定めた「検疫辞書」の配布サービスを組み合わせることで、「ポリシー作成の手間が不要で、楽に運用できる」(小出氏)ことが特徴という。さらに、管理対象外の端末や脆弱な状態の端末をネットワークから自動的に遮断する「iNetSec SF」を組み合わせることで、より徹底した対策が可能だと説明した。

 また、通信を解析し、攻撃行動に特徴的な動きを検出する「iNetSec MP」を活用すれば、脅威がどこからダウンロードされ、どのように拡散しているかを見える化し、iNetSec SFと連携して被害を最小限に抑えることも可能という。PFUが提供する「標的型サイバー攻撃対策支援サービス」やオンサイト対処支援も組み合わせることで、限られた人材で効率的な運用、対処を支援するとした。

●脆弱性管理は「見える化」「効率化」がポイントに――セキュアワークス

 デルの傘下ではあるが、あくまでベンダーニュートラルな立場で脅威を観測・解析し、インテリジェンスサービスを提供しているセキュアワークス・ジャパンでは、コンサルティングから監視、事故発生時の対応を支援するインシデント対応サービスに加え、自社システムの弱いところを攻撃者の視点で洗い出す「RedTeam」など、幅広いサービス群を提供している。

 同社 MSS事業部 MSS統括部長を務める浜田譲治氏は「膨大な脆弱性に対しどのように優先順位をつけ対処すべきか」と題するセッションにおいて、自らの経験を踏まえ「脆弱性は入浴や歯磨きと同じで、日々のシステム運用の中でどうしても付き合わざるを得ない相手だ。ただ、膨大な作業を全て手作業でやるのではなく、いかに効率化し、リスクを軽減するか、そして見えないものをどうやって見えるようにするかがポイントだ」と述べた。

 浜田氏が推奨するのは、まず「整理」すること。システムの一覧を設け、どこを重視すべきかを考える。次に、攻撃者のターゲットになりやすい脆弱性から順に対処していく。そこで役立つのが脆弱性診断ツールだが、「導入したはいいけれど、山のようなレポートが生成され、いったいどれが重要か分からないことも多い。どの脆弱性が悪用される可能性が高いかという情報がなければ、どのパッチを優先して適用すべきか、優先順位付けが分かりにくい」(浜田氏)ことが課題だ。

 その判断を手助けするものとして浜田氏は「脆弱性診断とセキュリティ監視の融合を提案したい。スレットインテリジェンスに加え、セキュリティのプロフェッショナルによるSOCの監視状況を活用することで、システムの現状や、悪用の可能性が高い脆弱性か否かを見える化する」と述べた。

 最後に浜田氏は「脆弱性対策は日常的なもの。それを効率的に進めるには見える化が重要だ」と繰り返し強調し、リスク削減という目的に向け、うまくインテリジェンスと併用しながら、「現状」と「対策」の双方を可視化することが重要だとした。

最終更新:10/6(金) 8:00
@IT