今回はグループ会社やサプライチェーンに対するセキュリティ対策で技術提携をしているPanorays Ltd.のブログ『SolarWindsのようなインシデントの予測は可能か?』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Demi Ben-Ari@Panorays | 2021年2月25日

これまで10年以上に渡って、世界中から寄せられるサイバーセキュリティに関する質問に答えてきました。しかし、この数カ月、私を悩ませている私自身の疑問が一つあります。

SolarWindsを使ったサプライチェーン攻撃は予測可能だったのか？防ぐ術はあったのか？

今後、同じようなインシデントが発生する可能性はあるのか否か、多くの企業が懸念していることかと思います。このようなサードパーティ（グループ会社やサプライチェーン）の侵害を予測したり防止したりするために、何かできることがあるのでしょうか？

予測は可能だったのか

SolarWinds社の製品を悪用したマルウェアによる被害は、APT(Advanced Persistent Threat)から始まり、巧妙にカスタムメイドされたマルウェアが安全であるはずのソフトウェアに埋め込まれ、世界中に拡散されました。

よって、予測することは不可能であったと考えられます。カスタムメイドされたマルウェアは非常に巧妙に設計されており、いかなるレーダーに引っかかることもなく、少なくとも9か月間検知されないままであったと考えられています。

SolarWinds社のような米国大手ソフトウェア企業までもが、このような大規模サードパーティ侵害の被害者になる可能性があったとは予測しづらかったのは事実です。しかし、APTや他のステルス的な攻撃の結果として、多くのサードパーティ侵害の可能性を想像することは容易かと思います。

潜在的なサードパーティ侵害を予見する方法の一つは、時が経つにつれてセキュリティ態勢が低下するであろう箇所をこまめに探ることであり、何か不可解なことや手がかりとなるようなことを見つけられる可能性があります。

SolarWindsの侵害を防ぐことができたか?

SolarWinds社への攻撃は素人の成せる業ではなかったと考えられています。

つまり、国家を背景に持つ高度な技術と知識を有する攻撃者による綿密に設計された攻撃であり、標的となったソフトウェアが侵害されていたことさえ認識するのが困難でした。米国マイクロソフト社プレジデントのブラッド・スミス氏は「ソフトウェアエンジニアリングの観点からは、これまでに見た中で最も手の込んだ洗練された攻撃だったと言っても過言ではない」と『60 minutes（米国のドキュメンタリー番組）』のインタビューの中で語っています。

Microsoftは、侵害されたSolarWinds社製の監視ソフトウェアをインストールし、ハッカーの侵入を可能にした18,000に及ぶ企業や政府機関の1つにすぎません。

どうしてここまで大規模な侵害に発展したのでしょう？

これは、攻撃者がかなり準備周到であったことを示しています。信頼されてきたソフトウェアであるSolarWinds社製のOrionの内部にマルウェアを巧妙に埋め込んでパッケージ化したのです。これにより、標準的なソフトウェアアップデート中に、ユーザに気づかれることなく数千のシステムに簡単に侵入できるようになっていたのです。実際、マルウェアを検出することを目的としたツールでさえ、Orionは正当なソフトウェアであるため、フラグを立てることができませんでした。

計画と準備がすべて

こうした背景からSolarWindsのようなサードパーティのセキュリティ侵害は予測が難しく、巧妙なサイバー犯罪者など、国家を背景に持つような攻撃者による高度な侵害を防ぐことはかなり難しいのです。

では、重要資産を保護するにはどうすればよいでしょうか。

サードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧するために、今日からできる予防措置があります。

ステップ1:　サイバーレジリエンスとリカバリプロセスの構築

サイバーレジリエンスとリカバリを実現するには、まずどのような資産があるかを理解する必要があります。サーバとシステムコンポーネントは確実に資産であり、データを処理または保持する機器です。したがって、データを処理または保持する外部のサードパーティサービスとツール/SaaSアプリも資産として含める必要があります。

例として、以下に幾つか挙げてみましょう:

• VPNで保護される内部サーバ
• 電子メールサービス
• マーケティングツール
• カスタマーサクセスツール
• ホスティングプロバイダ

昨今の一般的な事業形態ではサードパーティへの依存度が高く、その数も増えているため、全てを洗出し、マッピングすることが不可欠です。セキュリティチームは限られた人数で多くの責務を負っている場合も少なくなく、多くの企業共通の悩みかと思います。サードパーティのリスク管理はその一端であるため、自動化し、その長く複雑なプロセスを合理的にスピードアップする必要があります。

手動ですべてのサードパーティのセキュリティ態勢を適切に検証することはほぼ不可能です。自動化によって、より広範な検出が可能になり、保護を必要とする重要資産の可視化も可能となり、理解も深まります。

ステップ2:　重要資産の特定

資産を特定した後は、優先順位を付ける必要があります。容易ではありませんが、データの共有先や処理者が含まれるよう広域のアタックサーフェスを考慮に入れることが重要です。

物理的なインフラのみならず、仮想インフラ(ベンダー)を含むインベントリを作成することは、資産を保護するための強固な基盤です。資産を特定し、優先順位を付けたら、これらすべての資産を監視するシステムを確立し、動的に変化を続けるサイバー空間における可視性を確保する必要があります。

ステップ3:サードパーティおよびその先（フォースパーティ）のリスクを軽減

前述したように、サードパーティはさまざまなサービスに利用されています。各サードパーティには、独自のインフラと彼らには彼らのサードパーティがあります。つまり、あなたの所属する組織から見ればフォースパーティにあたります。フォースパーティのリスクをも理解する必要性があります。

SolarWinds社の顧客は、自分たちのデータが侵害されることを懸念していましたが、SolarWinds社の顧客とビジネス上のつながりがあるベンダーなども、同様に、自分たちのデータの安全性について心配していたのです。このセキュリティーインシデントから学んだことは、サードおよびフォースパーティのリスクを管理し、そのリスクを軽減することがどれほど重要であるかということです。

サードパーティを把握するだけでなく、侵害が発生した場合の連絡先などについても適切な知識を持っている必要があります。「当たり前だ」と思うかもしれませんが、残念なことに、侵害が発生した場合に誰にどのように連絡するか、といった単純なプロセスは見落とされがちです。サイバー攻撃では時間が重要であり、あらかじめ適切な連絡先を整理しておくことは、迅速、かつ適切に対応できるかどうかに大きな影響を与えます。

侵害に対する対応

ISO27001などの国際標準は、各組織が情報セキュリティ管理システムの最適化を支援するためのフレームワークを提供し、NIST Cybersecurity Frameworkは同様に、インシデントへの対応と復旧方法に関するガイドラインを提供しています。こうしたフレームワークの実装は、組織がセキュリティ侵害に対処するための準備に役立ちます。

サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価（自動化されたセキュリティに関する質問票）と外部評価（アタックサーフェスの評価）をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。