1. サイバー攻撃の軌跡を知ることが、脆弱性強化の対策につながる
12月から1月は、サイバー攻撃のリスクが高まる時期だ。なぜかというと年末年始のシーズンには企業や個人が休暇を取るため、セキュリティの監視が手薄になるからである。また、この時期には商業活動が活発化し、金融取引やオンラインショッピングも増加するので、攻撃対象となるデータが増えることも理由の1つだ。
そういった要因からサイバー攻撃者はこの時期に標的を選ぶことが多く、例えばクリスマスや年末の特定のイベントを利用したフィッシング攻撃が増加することが予想される。
そういったサイバー攻撃が多くなる確率が他の日よりも高いとされる日を、サイバーの「特異日」と言う。カレンダーに示されるようなことはないが、重要な選挙期間や大規模なスポーツイベントの前後、または企業の四半期決算発表の時期の攻撃は、混乱を引き起こす絶好のタイミングだ。情シスはそのような攻撃の特徴を捉えることも重要になってくる。
今回のコラムは、前職(NHK)でセキュリティ機器が思った通りの成果を出しているかについて調査し、その時見えた結果について解説したい。
この調査は、今から10年前に行ったコンプロマイズアセスメント(CA)侵害調査である。当時はインシデントレスポンスという言葉もあまり浸透していなかった時代で、PC端末での感染を端末スキャンで発見し、駆除するものが主流だった。
調査した結果、セキュリティ対策をしているにもかかわらずマルウェアの侵入が成功しており、ネットワーク内を自由に移動している軌跡が見られたのであった。
幸いなことに全ての攻撃は失敗に終わっており、なにひとつ情報漏えいにつながってはいなかった。この結果を聞いてほっとしたことを覚えている。しかし、数が少ないとはいえ、ネットワーク内にマルウェアが数日間潜んでいた実態を知った時は恐怖を感じた。マルウェアの侵入は、セミナーなどで聞く話であり、他人ごとと思っていたからだ。
攻撃者の行動軌跡を知ったおかげで、改めて社内の重要情報の置き場所や、ネットワーク構成上の脆弱な場所を見つけ、強化対策へつなげられるようになった。
2. 過去の侵害された記録から、標的とされる箇所をあぶり出す
皆さんはサイバーセキュリティに関する数多くの「アセスメント」を冠するサービス名を聞いたことがあると思うが、ここで改めて紹介したい。
サイバーセキュリティにおける「アセスメント」とは組織の情報システムやデータに対するセキュリティリスクを評価し、脆弱性を特定し、改善するためのプロセスのことを言う。主な目的は、サイバー攻撃やデータ漏えいのリスクを最小限に抑えるための調査だ。このサービスで注目すべきはリスク評価と今後の対策に向けた提案だ。
リスク評価で重要なのは、潜在的な脅威やリスクである。過去数年間のログを調べ、端末に侵害された足跡がないか、その攻撃ルートはどこを通して行ったのかを徹底的に調べ上げるのである。
仮に、脆弱性をついたところからの侵入であっても、マルウェアの移動を追跡すると、攻撃者がどのような意図をもってネットワークを移動するかを知ることができる。例えば権限獲得のためADサーバを狙ったものかなど、攻撃者のレベルを把握することも目的の一つになっている。
リスク評価と今後の対策に向けた提案に焦点を当ててみると、実際にどのような脅威が存在するのか、そしてその脅威への対策を具体的に把握することが効果的な備えにつながるのである。
3. 実際に行った侵害調査の事例を紹介しよう
侵害調査では、社内ネットワークへの侵入経路を調べるため、全社員のPCスキャンが必要になる。しかし3万台を超えるPCのフルスキャンは容易ではなかった。特にスリープモードになるとスキャンが止まってしまうので全社員への周知が難関であった。当然であるが、多くのPCは退社時に電源を切りロッカーにしまわれる。その時間帯のスキャン作業はできず、想像も絶するような時間がかかったことを覚えている。
しかし、この侵害調査にはそれだけの価値があり、攻撃者の狙おうとする経路を知ることができた。特に横の展開(ラテラルムーブメント)はまさに絵に描いたように権限昇格を狙った動きが把握できる。
幸いなことに攻撃全てが、セキュリティ対策による検知で見つかり、C&C(コマンド&コントロール)サーバへのアクセスがブロックできていた記録があった。侵入はメールとWEB閲覧によるものが存在したが、入口、出口対策が機能していることがわかった。
さらに攻撃の移動した痕跡をネットワーク上で印をつけていくと攻撃遷移図ができ上がる。
そのうえで脅威情報(スレッド)ハンティングの必要性が重要になることもわかった。セグメントを越えるブリッジのアクセス管理は、非常に重要であり、この部分については管理、監視体制の強化をすることにした。見えてしまうことの怖さはあったが、新たな導入計画が立てやすくなり、予算要求提案書が書きやすくなったので紹介しておこう。
侵害調査のメリットをまとめると下記のようになる。
- 【メリット】
- 攻撃者の侵入経路を詳細に解析し、ネットワーク遷移のマップを作成すると、効果的な多層防御を構築できるようになる。
- 脅威の分析結果を基に、今後導入するサービスの内容を精査し、最も効果的なセキュリティ対策を導入できるようになる。
- 効果的な内容に絞ることにより、セキュリティ対策にかかる経費を削減できる。
- セキュリティ担当者のスキルが向上し、セキュリティベンダーとの会話ができるようになる。
さらに、この調査には全社員の協力が不可欠であるが、実施目的を理解してもらうことで、信頼関係が構築できて、この後の対応がスムーズにいくようになった。普段情シスの言うことに従ってはいるが、実際情シスが何をやっているかわからないと言う社員も多くいる。今回、全員の参加と協力で、情シスとの信頼関係が生まれた。
前述したように社内に起きていた事象を共有することは、一見避けて通りたい内容ではあるが、真実がわかったので、危機感の共有を図ることができた。セキュリティ対策は一度構築すれば終わりではなく、常に見直しと改善が必要だ。侵害調査を通じて、社員自身に危機感を覚えてもらえたという成果につながった。
4. サイバーセキュリティの盲点を把握
新しいセキュリティツールを導入することは、未知の攻撃に対する防御として有効かもしれない。ただ多層防御を闇雲に行っても、セキュリティツールが本来持っている機能を十分に発揮できているのか、実際に運用してしまうと調査が難しくなる。導入時はチューニングを行い、検知レベルを調整するが、果たして妥当なレベルなのか判断できない状況ではないだろうか。過検知の場合は社員への負担が増え、信頼関係を損ねてしまうおそれがあるなど、チューニングが難しい作業なのである。
侵入経路や攻撃の流れを詳細に解析し、セキュリティの盲点を把握し、侵入経路や攻撃の流れを詳細に解析することは、サイバー攻撃による被害を最小限に抑える手段の一つと言えるのではないだろうか。
当然、攻撃者は常に優位な立場にいるため、対策を強化してもいたちごっこの状態だが、だからといって新しく効果的な機器を導入すれば万全であると思うのは間違いと言ってもいいだろう。攻撃者のレベルが高いと認め、以下のアセスメントの必要性について経営者に説明してみることをお勧めする。以下のコメントは僕が企画書に書いた内容である。
- サイバーセキュリティアセスメントの効果について
- システムのどの部分が攻撃者に狙われやすいのかを把握し、必要な修正を行うことができ、セキュリティホールを事前に塞ぐことができる。
- 攻撃の流れを解析すれば、攻撃者がどのような手口を使ってネットワークに侵入し、どのように移動するのかを理解することができ、今後の攻撃を予測しやすくなる。
- 侵入経路を特定し、攻撃の早期検知と迅速な対応が可能になり、被害を最小限に抑えることができる。
- 侵害された脅威を共有することにより、危機感の醸成につながり、意識の向上が望める。
企画書の内容で一番伝えたかったことは、セキュリティ機材を導入する前にネットワーク内のごみを整理し綺麗な環境でサービスを開始したいという思いであった。現状のネットワーク環境のデトックスを行いたかった。デトックス(Detox)は、体内に溜まった有害物質や毒素を排出し、健康を改善しようとするものだ。今まで積み重なっているセキュリティサービスに新しいものを足して多層防御にするのでなく、可能なタイミングでクリーンな状態にしてからサービス更新を考える必要があると考える。
ここで改めてこの調査=侵害調査サービスCA(Compromise Assessment)で実施する内容とメリットをまとめてみた。
- 攻撃者がどのように侵入したかを分析すると、脆弱なポイントがわかり特定のネットワークポートやサービスがターゲットにされていることが判明する。
- 攻撃者が内部でどのように移動し、どのようなデータにアクセスしたかを追跡してみると、内部ネットワークのセグメンテーションやアクセス制御の改善点が見えてくる。
- 既存のセキュリティ対策がどの程度効果的だったかを評価できる。例えば、侵入検知システム(IDS)や侵入防止システム(IPS)がどの段階で攻撃を検知できたか、または見逃してしまったかがわかる。
- 攻撃者が使用した手法やツールから、最新の攻撃トレンドや新しいマルウェアの種類を知ることができ、次の攻撃に備えるための情報が得られる。
5.「侵入済みの脅威」をあぶり出す「脅威ハンティング」
アセスメントを行い侵害された形跡を知ればそれで終了ではない。それはあくまでも過去の侵害記録であって、現在の脅威についても何らかの方法で検知できるようにすることが必要と考える。
その理由としては、サイバー攻撃はネットワーク内での滞在期間が長く、攻撃対象のPCやサーバに侵入した後、社員に気付かれないよう密かに活動を進めているからだ。
情報が盗み出される被害が発覚した後に大騒ぎになるパターンがほとんどだが、実際に発生するまでにかなりの期間、ネットワーク内にいることを知らないでいる。したがって脅威ハンティング機能が必要なのだ。
脅威ハンティング機能とはすでに侵入済みの脅威を対象に、それらが何らかの活動を行えば、稼働中のプロセス情報やログなどの形で不審な活動をあぶり出してくれるものである。
入口で止める限界を知った上で、侵入された後の対策ではネットワークを監視する保安官のような役割であるEDRサービスが重要なのである。
- 【EDRの役割】
- 侵入を防止できない脅威を検出し、実際に被害を受けるまでに対処できるようになる。
- 内部SOCチームの活動が円滑になり、脅威ハンティングで検出された脅威情報を活用すると、インシデント対応は大幅にスピードアップされる。
- 脅威ハンティングを通じて、現在のネットワークに内在する課題を認識しやすくなる。
なりすまし攻撃など、巧妙な手口が増えたので、侵害された端末を特定し、セキュリティの盲点を把握することは、セキュリティ対策の基本となっている。セキュリティ対策の中でもエンドポイント調査を通じて詳細な解析を行う作業は、SOCチームとしても常に最新の脅威に対するレスポンスを早め、障害を最小限に食い止めることにつながるのである。
ひとたび脅威の侵入を許すと、攻撃者は管理者に気付かれないよう時間をかけて継続的に攻撃を行う。中にはシステムの管理者が2年間以上脅威の侵入に気が付けないような場合があるのだ。システムの管理者が知らないうちに被害が拡大し、脅威の侵入に気付く、あるいはインシデントの発生が公になる頃には重要な情報が盗まれ、事業継続に影響を及ぼす事件になってしまう。
EDRの機能を活用すれば、脅威ハンティングとその後の対応を効率的に実施することができる。脅威ハンティングの効果を引き出すことは、サイバー攻撃から自社の資産を守る能動的な取り組みということだ。
6. まとめ
侵入済みの脅威から得られる情報により攻撃者の行動パターンを理解することは新たな攻撃を予測し、防御策を講じることを可能にする。具体的なケーススタディや実例を分析すれば、より効果的なセキュリティ対策を講じることが可能になる。
例えば、過去の事例として、どのような手法で侵入されたのか、どのセキュリティホールが利用されたのか、そしてどのように防御策が効果を発揮したのかを詳しく知っておくと、実際の現場での対策に活かすことができる。
脅威情報を基に具体的なセキュリティ対策を実施し定期的に見直せば、新たな脅威に対する防御力を常に高め、将来の攻撃に対する備えを万全にすることにつながるのである。セキュリティは一度構築すれば終わりではなく、絶えず進化させ続けることが必要だからだ。
<関連情報>
>
セキュリティ関連セミナーは随時開催中
<< 関連コラムはこちら >>
■情シスが取り組むべき災害BCPとIT-BCP~サイバーインシデントへの「備え」を考える~
■サイバー攻撃から会社を守る ~セキュリティ対策トレーニング(訓練)のススメ~
■情シスはAIをいち早く活用して、新たなビジネスチャンスを生み出そう
■ベテラン情シスの知識・経験を会社としてどう継承すべき? ノウハウ継承の4つのアイディア
■初めてPoCを任された情シスへ伝えたい、成功のための事前準備とは?
■「報・連・相」では相談が肝心!情シス職場の風通しを良くする相談のコツ
■サイバー事故を防ぐセキュリティ研修のコツとは? 現場を巻き込むひと工夫が決め手!
■プロジェクト成功の秘訣とは? 情シスがPDCAの「Do」を意識して対応すること
■情シスは生成AIツールをどう使うべき? 失敗談から考えるビジネスへの活用法
■プレゼン資料作成スキルを上げる! 情シスの話が伝わる構成力を身につける方法
■情シスに伝えたい!IT専門用語をわかりやすく説明するには?
■気をつけたいシャドーIT! 情シスは「危険性の周知」と「管理の強化」を進めよう
■情シス不足解消策は採用のみにあらず! 組織内からできること
■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策
■情シスはDXを考えていく上で、一体、何をすればいいのか?
■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ
■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント
■リスク事例で読む、情シスにしかできないITのリスクマネジメント
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全2話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。