%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. コラム
  4. セキュリティのデザイン:攻撃者は脆弱性を見つけるのが得意なんです

セキュリティのデザイン:攻撃者は脆弱性を見つけるのが得意なんです

  • LINEで送る
  • このエントリーをはてなブックマークに追加
セキュリティのデザイン:攻撃者は脆弱性を見つけるのが得意なんです

熱海 徹@SOMPO CYBER SECURITY | 2022年10月31日

皆さん、こんにちは

SOMPO CYBER SECURITYでフェローを務める熱海(あつみ)です。

連載コラムのタイトルは「セキュリティのデザイン」で、この言葉の意味は以前ご紹介しましたが、課題解決を目的とした考え方です。

前職(NHK)の10数年前の事になりますが、放送機器が新たに納品される前に必ず工場検査がありました。その時に行っていたのが、万が一パソコンがコンピューターウィルスに侵されたらどうなるのかをメーカーさんと議論するというものです。
また、世の中で起きたサイバー事件を題材にして、もしNHKが攻撃を受けるとしたらどこから侵入するのか、被害を止めるにはどうしたらいいかのシナリオを作って考えていました。

サイバーセキュリティ対策には限界があるため、常に対応のイメージが強いと思います。一方、対策は起きる前の行動ですので、「サイバーセキュリティにおけるシフトレフト」の考えが必要です。
このような課題解決のためのセキュリティについてデザインするということが大切だと思います。今回もセキュリティのデザインの重要性をお伝えできればと思いますので、ぜひご活用ください。

はじめに

コロナ禍で企業を取り巻く環境が大きく変わる中、セキュリティ面での課題にも変化は生じています。
テレワークが普及したことで、社内ネットワークに繋いで使うという前提条件が成り立たなくなり、エンドポイントでのセキュリティ強化の必要性が高まっているように思えます。
言い方を変えると今まで行っていた境界セキュリティは限界に達しているのではないでしょうか。

しかし、新たなリスクとしてエンドポイントセキュリティを強化しても使い勝手の問題が発生したり、隠れて私物PCが使われる可能性も高まりセキュリティ統制が現状もあると思います。
よってこのような環境では会社PCそのものの利便性とセキュリティのより高いレベルでの両立が端末選択の重要なテーマになってきています。

 

「サイバーセキュリティにおけるシフトレフト」によるプロアクティブな対応の強化

攻撃の巧妙化や、テレワークなどのICT環境の変化により、境界線で防御を中心としたセキュリティ対策の限界が目立ちつつあります。よって100%の「防御」は不可能で侵入されることを前提に「検知」や「対応」への注力を高め、素早い対処によって影響を最小化するアプローチが必要になっています。
テレワークが中心になる環境以前からの考えですが、入口対策が全くされていないものについては論外ですが、ネットワーク内にマルウエアが侵入された場合の検知にしても、100%の能力があるわけでは無く、常に監視する体制が必要であり、対応を担う運用者に大きな負荷がかかっていました。

「サイバーセキュリティにおけるシフトレフト」は攻撃を試みる計画を侵入前の環境で将来起きる可能性のあるものを見つける技術を利用するものです。

前職(NHK)では、正式な商品名は言えませんが、このようなプロアクティブな対応の強化をしていました。少し過剰気味な対策にはなりますが、オーバー気味な対策を講じることで、被害に遭う事を想定したシナリオ作りに役立ったことを覚えています。
野球のバッターで例えると「空振りは許されるが、見逃しはNG」の精神を守っていました。

ちなみに「シフトレフト」は、本来アプリケーション開発の前工程における品質の作り込みが有効であることを語る際に使われる言葉ですが、セキュリティ対策も同じように、より前の段階から取り込むべきと考え利用されています。

攻撃者になったつもりで対策を考えていた

攻撃者は、まず長期に渡ってターゲットの脆弱性を分析し侵入します。そして侵入後もステップを踏んでネットワーク内を移動してアクセス権の獲得のためPC間を移動していきます。
当時は、誘導PCを設置したり、罠を仕掛け、簡単にアクセスできるPCネットワーク内に忍ばせ攻撃者を誘導した経験があります。当然活動時間が現地の時間に合っているため(時差)日本時間の夜中になる場合が多かった記憶があります。

攻撃者は、侵入後、明確な標的を特定し、標的が定まれば実際の攻撃へ移行し、目的を達成します。さらにその挙動を隠ぺいするわけです。

このような一連の流れでは、限界があり、如何にターゲットの脆弱性の調べている行動を察知するのも対策であることを説明したかったのです。それでも侵入は成功する場合がありますが、いきなりの地震に対する対策より、台風の進路を確認しての対策の方が効果的という事です。
侵入後の対策は、滞留可能時間を減らすことが重要です。そして、レスポンスを迅速化することが重要になってきます。求められているのは「何が起こりそうか」を予測することが大切で、外部のインテリジェンスを活用したセキュリティ対策になります。



被害を拡大させない対策

個別のインシデントに対して、都度警戒の温度感を与えていくことも大切ですが、「これこれのターゲットに、こう備える」ではなく、インシデントへの対応、という意味では同じなので、「被害を拡大させない対策や復旧プロセス手順」の確立と成熟というところがもっとも大切な観点かと自分も考えています。
また「経営層のパニックを防ぐ」ことも重要で、経営ガイドラインには、「経営層の関与」とありますが、何をどう関与させるか、フローやロールを考えておかないと、インシデント発生時のパニック要因になりかねないかと考えています。

復旧プロセスは、平時の時に考えるものですが、普段からのバックアップに関する訓練を定期的に行う事が必要です。復旧に関しては机上で考えても実際に行うと色んなものが見えてくるからです。
実際にあった話ですが、データのバックアップは通常、アプリケーションごとにツールを使って実施しています。しかし業務システムを構成するサブシステム間がある場合にバックアップ手法が統一されていないことがありました。

システム環境は全てベンダー任せの会社は多いと思います。このあたりの仕組みを熟知しており、復旧作業に入れるわけで、時間を掛けてリストアしても動かないという悲劇もあることを経験するといいと思います。

 

自分が考えているインシデントシナリオ


シナリオ1

▶物理的なインシデント (地震、災害等) の発生時に、災害・機器障害によるシステムの一斉ダウンや、放送局が機能しなくなること。サイバー的なインシデントとしては、標的型攻撃等によるシステムの破壊、乗っ取りなどが考えられます。
これらが、他の重要なインシデントと合わせて発生することで、本来求められている機能が発揮できなくなるような状態となった場合、より状況は悪化するのではなかろうか、と考えています。

シナリオ2

▶世界的規模のサイバー攻撃や別のインシデントに巻き込まれ、状況のわからないままシステムが暴走等の影響を受け、機能しなくなること、大規模な攻撃による流れ弾被弾や、外部の要因によるインシデントに巻き込まれた場合に、放送局を含め正しい情報をつかめない場合には、社会的な不安がより深刻化するのではないでしょうか。

シナリオ3

▶送出したデジタル信号にマリシャスなコードを含められ、受信したテレビなどで、マルウエアの感染やシステムの暴走が発生すること放送した信号から影響が拡大した場合、問題点を探ることは困難ではなかろうかと思っています。また原因が電波にあることが解ったとしても、さらに混乱は拡がるのではなかろうかと考えています。
おおよそ、「各システムの管理端末によるシステム破壊、暴走、乗っ取り」というところで説明ができてしまうところですが、その入り口 (要因) と出口(結果) というところがいくつかシナリオがあるよう思います。

 

放送業界に限らず重要インフラにおいては、インシデントが直接及ぼすことと、間接的に影響を与えることがあります。つまりサービス停止は直接的に影響を与えますが、場合によって、信用への不安という間接的な影響を与えることもあるかと思います。
重要インフラ組織への呼びかけの主な例としては、前者(直接的影響)が注目されがちですが、後者(間接的影響)も分野によっては深刻な影響を与えるため、注意が必要で、経営層には、その両者によるリスクを認識させておくことが望ましいでしょう。

 

本日のまとめ

セキュリティインシデントは、一番弱いところから起きます。攻撃者は弱い部分を見つけるのが得意なんです。
これらの対策は今回の話の「サイバーセキュリティにおけるシフトレフト」により、攻撃を仕掛ける動きを早めにキャッチすることが大切です。「セキュリティのデザイン」としては取り組んでもらいたい部分です。さらに、会社としては組織をまたいでデータを接続したり、ログイン連携で情報を取得したりするときには、ビジネス全体を見渡し、セキュリティのレベルが合っているか、判断できる人が必要になるわけです。それなりの場数を踏んで実際のインシデント対応を経験した高度な専門人材が必要になります。リスクの可能性を列挙するのではなく、判断する能力が求められます。

しかし現実的な話、こうした人材を企業の外部に求めるしかないのかもしれません。もしDX推進と高度なセキュリティの両方を目指すのであればなおさらそうかもしれません。

 

 

 

熱海 徹 セキュリティのデザイン過去記事一覧

熱海 徹 プロフィール

著者情報
熱海 徹(あつみ とおる)
SOMPO CYBER SECURITY

  • 1978年4月 日本放送協会入局 システム開発、スタジオ整備、スポーツ番組に従事
  • 2013年6月 本部・情報システム局にてサイバーセキュリティ対策グループ統括
  • 2016年6月 内閣府 SIP推進委員、セキュリティ人材育成WS委員
  • 2016年7月 一般社団法人ICT-ISAC-JAPAN事務局次長
  • 世界的スポーツイベントに向けて放送業界セキュリティ対策に従事
  • サイバーセキュリティ対策推進や経営層に向けたセキュリティ対応策について数多くのセミナー・イベントに登壇
  • 2018年9月 SOMPOリスクマネジメント株式会社に入社
  • サイバーセキュリティ事業のサービスに関する研究開発、技術評価、サービス企画開発等の統括、セミナー・イベントに登壇
  • 2019年7月 経済産業省 産業サイバーセキュリティ研究会 有識者委員
 
  • LINEで送る
  • このエントリーをはてなブックマークに追加