SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ITインフラ管理の最前線:CISコントロールとその実践的応用

ハードニング実践!構成レビューをやってみよう

『CISコントロール』を援用した企業に必要なITセキュリティの管理と維持の方法 #04

 セキュリティ対策の基本の構成レビューでは、組織の資産やソフトウェアを安全に構成し、アタックサーフェス(攻撃対象領域)を最小化することが重要です。本稿では、ハードニングの考え方や具体的な手法、外部コンサルタントの活用、ベンチマークの利用など、組織のセキュリティを高めるための実践的なポイントを解説します。ハードニングを通じて、サイバー攻撃のリスクを最小限に抑えましょう。

IT部門管理職に向けて、国際的ガイドラインであるCISコントロールに基づいた資産管理と対策方法について紹介する連載。過去の記事一覧はこちら

4.1. ソフトウェアやサービスの安全な利用について

4.1.1. 買ったばかりの製品は安全ではない

 OOTBという単語をご存知でしょうか。これはOut-of-the-Boxの略語で、購入して箱から出したばかりの状態でいきなり利用できるITシステムのことを指す言葉です。OOBと略されることもあります。こういう状態は「デフォルト設定」ということもありますし、アイスクリームの標準的な味がバニラ味であることから「バニラ」と呼ぶこともあります。

 家電製品と異なり、ITソフトウェアやシステムは標準機能に対して何らかのカスタマイズが加えられるようにできていますが、サービスやソフトウェアによっては、可能な限りOOTBを尊重し、カスタマイズを避けることが推奨されている場合もあります。導入後に迅速に役立てられた方がいいということでしょうが、このようなOOTBをそのまま利用することは、セキュリティ上の問題につながることもあります。

 脆弱性を減らすために欠陥が修正された最新版にアップデートすることはもはや常識となってきましたが、それ以外にもシステムやソフトウェア、サービスなどの状態や設定をしらべ、不要なプログラムや機能を使うことを避けたり、通信可能な相手先やアクセス権限を最小限に抑えたり、設定を変更して問題が起きないようにすべき場合もあります。たとえOOTBであっても、これらのカスタマイズをすべきケースも多々あります。このようなセキュリティを高める作業は、まとめてハードニングと呼ばれます。

 CISコントロールの4番目は「組織の資産とソフトウェアの安全な構成」なのですが、ここで求められていることはハードニングに関連するものが多いため、一緒に理解していきましょう。

4.1.2. 今回扱うハードニングとアタックサーフェス

 ハードニングはITに関わる様々なツールやベストプラクティスのことですが、安全な構成を取るためには何が必要でしょうか。 ここで必要なのが、アタックサーフェス(攻撃対象領域)という考え方です。アタックサーフェスというのは、サイバー攻撃における侵入経路のことです。攻撃者の目的はランサムウェアをパソコンで実行させたりやデータを奪ったりしないなど様々ですが、まずどこから入ろうとするかを考えると、その切り口は限られたものになります。

 たとえばアプリケーションに脆弱性を悪用するとか、リモートデスクトップ接続に使われる3389番のTCPポートを使っているパソコンを悪用して侵入するなど、いくつかのメジャーなパターンがあります。アタックサーフェスが広いと様々なパターンで攻撃される、逆にそのパターンが通用しないように最新版にアップデートされていたり、サービスを適切に設定されていたりするのであれば、攻撃を受ける可能性が減ります。

 Webサイトのソースコードの書き間違え、サーバーの設定ミス、通信に利用している証明書の失効、危険性のあるSHA-1ハッシュアルゴリズムの利用などは、いずれもアタックサーフェスを広げる行為です。

 最近はリモートワークの推進に伴い、クラウドやIoT、VPNやRDPなどの技術が活用されていますが、これらを使うと攻撃のパターンも増えます。つまり、近年はアタックサーフェスが拡大しているのです。そこで、ハードニングによって、アタックサーフェスを可能な限り小さくする活動が重要になるのです。

 ハードニングのツールやテクニックは多種多様で、ソフトウェアの種類によっても異なります。初期導入から設定、保守、サポート、そして使用終了後の廃棄に至るまで、テクノロジーのライフサイクル全体を通じてさまざまな場面で必要になります。 次の図はアタックサーフェスに相当するものと、それらに対する代表的なハードニングを示しています。

図1 代表的なアタックサーフェスとハードニングの例 [画像クリックで拡大]

 PCI DSSやHIPAA など、ITシステムに関連する認証を取る際にもハードニングは義務化されており、サイバー保険会社からの要求も高まっています。最近ではハードニングコンテストなども開催されており、そこではセキュリティに従事するエンジニアが様々な環境下で限られた時間内にアタックサーフェスを削減し、攻撃に対応するためのスキルを競っています。

4.1.3. ハードニングにおける基本はいらないものを使わないこと

 アタックサーフェスを減らすための第一歩は、ファームウェア、OS、アプリ、サービスなどの最新版へのアップデートです。最新版のデータは脆弱性を解決ができている事が多く、被害を受ける可能性が減るので、最もメジャーなハードニングだといえます。 ですが、ゼロデイ脅威のように、アップデートをやっていれば、それで常に脆弱性対策になるというわけではありません。またアップデートを実施するときにシステムを停止できない状況であれば、すぐには実現できないこともあります。

 ここで、別の角度から考えてみましょう。たとえばアプリに脆弱性があり、そのパッチを当てるのが遅れそう、または無理そう、というならアンインストールしてしまうという方法もあります。そうすれば、そのアプリの脆弱性を悪用されることはありません。 「いやいや、アプリは必要だから入れるんですよ。使ってるに決まってるでしょう」という反論がくるかもしれません。もちろん実際にそうであれば、このアドバイスは見当違いです。ですが実際には、不要なアプリが業務用のスマホやパソコンに入っていたり、クラウドに立てた検証用の仮想サーバーに利用していないアプリが入っていたりすることは珍しくないのです。それらのアップデートはすでに提供されておらず、危険な状態になっているかもしれません。そういうものを見つけて削除することもハードニングなのです。

 あるいは、業務でアプリを使っているが、そのアプリを動かすOSで、不要なサービスが動いている、ということも考えられます。攻撃者がなんらかの方法でOSにログインできてしまったときに、「おっ、このサービスを使えば機密情報が入っているサーバーへ簡単にアクセスできるぞ」と大喜びで使うことでしょう。これを停止することもハードニングになります。

次のページ
4.2. 実際のハードニングとは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ITインフラ管理の最前線:CISコントロールとその実践的応用連載記事一覧

もっと読む

この記事の著者

目黒 潮 (メグロ ウシオ)

ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
情報処理安全確保支援士
エンドポイントやフィッシング詐欺が専門

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19501 2024/04/30 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング