本記事の関連資料として、下記の講演資料を公開しています。
「標的型やAPT攻撃対策を踏まえたセキュリティアプローチによる経営リスクマネージメント」(日本HP 藤田 政士 氏)
「サイバー犯罪史にみるセキュリティ市場動向~」(田中 宗英 氏、増田 博史 氏)
「モバイルを最適化する HP社内IT環境の作られ方」(佐藤 慶浩 氏)
セキュリティパッチが間に合わない。ゼロデイ攻撃の脅威
―― 2013年は、韓国でのサイバーテロが取り沙汰されました。日本でもInternet Explorerの未解決の脆弱性を悪用した標的型のゼロデイ攻撃で様々な問題が明らかになりました。この間のセキュリティに関する動向はいかがでしょうか。
藤田 私がこの1年で強く感じたのは2点です。まず、アプリケーションの防御が全然できていない。次に全社系での構成管理が、開発したときのライブラリ環境を含めて非常に弱いということです。
2~3年前から、欧米ではアプリケーション・セキュリティが重要だとの認識が強まっています。そのため、破られても絶対にパスワードなどの重要情報は流出させない、カード情報は同じ場所に置かない、情報間の結びつきも分からないようにする、などの対策を講じている。
一方、現在の日本でメインで動いているWeb系のアプリケーションは、セキュリティを考えると非常に弱いものが多い。破られると本当に危ないというのが実情です。
次に構成管理の問題ですが、その理由の一つとしてゼロデイ攻撃、つまりソフトウェアのセキュリティ問題が発覚し、その対策が講じられる前に攻撃されることが増えていることがあります。インフラ系の方は、最新型の装置を入れるなど対策をしているのですが、パッチの配布には2週間程度かかる場合がある。ところが攻撃用のキットは2日後にできるというような話になってくると、ファイアウォールなどのインフラだけで、水際で一滴も漏らさず守るというのは無理です。侵入されてしまった場合にすぐに検知し、被害を最小限にする方策などが必要になっているのです。
今年のゼロデイ攻撃で残念だったのは、複雑化していることです。たとえば「バージョン○○がやられる」というのではなく、「○○のライブラリを使っていると脆弱性がある」というのがあリました。それに該当するかを調べるのに結構時間がかかる。先月、Windowsのパッチにもありましたし、Javaのバグは相変わらず多く、40~50個の単位で来てしまう。そうなると、きちんとした構成管理の仕組みを持っていて、開発環境も含めてパッチ情報も把握していないと分からない。
さらにPHPで作っていたアプリケーションが、ある部分だけRubyで直したということがあり得る。そうなると、Javaの50個ぐらいのパッチのどれが、何に関係しているのか判断することができません。そこで、セキュリティ視点の構成管理の概念が必要なのです。
―― やはりゼロデイ攻撃の脅威は高まっているのでしょうか。
藤田 今までは攻撃と防御は良い勝負で、パッチも間に合い、場合によっては「あるサービスを落とせばいい」という話でした。ところが今回、いくつかのApache系のパッチは間に合わず、攻撃の方が早かった。よく言われている様に、インターネット空間では攻撃の方が間違いなく有利です。攻撃ツールにバグがあっても構わないのですから。
HPのセキュリティ調査・研究チームHP DVLabsのメンバーに聞いたところでは、セキュリティの闇マーケットが存在しているそうです。脆弱性を見つけたら、まずカネになるところに行き、少し経ってからホワイトハットの方に売る、ということもあり得る。
さらに攻撃側のレベル、というより目的が変わってきています。今まではよく言われるように「ほら、穴がある」と技術力を誇示するような世界だったのが、IDを盗み出して脅迫するなど、犯罪目的が多くなっています。
さらに問題を深刻にしているのが、昨年の講演でもご紹介した、アノニマスのようなハクティビストの存在です。彼らには信条があり、“正義”のつもりで学び、攻撃していますからやっかいです。さらに、横の広がりも大きい。
今年、日本では新聞の一面を飾るような事件はなかったのですが、グローバルで見るとやはり発生しています。先日もAdobeが狙われましたが、深く浸透して黙ってソースコードを持って帰り、何年後に使う、というようなレベルになっているのです。
セキュリティポリシーを見直すべき時期にきている
またITは、バージョンの変化が非常に早いため、パッチも何も当てていないシステムが数多く存在します。中には当てるとしたら、3バージョンぐらい前に戻さなくてはならないものもある。そのために3回テストができるかといえば、できません。あと2年ぐらいで使うのを止めようとしているシステムだったとすれば、パッチに何千万円もかけられない。ただ、昨年の講演でもお話しした通り、インターネットに接続していないシステムでも、攻撃対象になり得ます。
そこである会社では、そうしたシステムにIDSとかIPSを入れてモニタリングを強化し、少しでも異常があったら、すぐに検知できるようにしています。この手法を私は“仮想パッチ”と呼んでいます。
つまり柔軟性を持った考え方でやっている。理想はもちろん、最新のセキュリティパッチが当たっていることですが、現実解としては、特に大きな会社の場合、難しい場合があります。
その辺はやはり、これも昨年の講演で話しましたが、セキュリティポリシーだけでは無理なのです。ポリシーで「最新にしておく」としていても、現実問題として不可能。ポリシーを越えたセキュリティ戦略を持ち、コストを意識しながら、最良の方法を採る必要があるのです。
ある会社の事例ですが、ITの実情を知らない法務部門、管理部門がセキュリティの責任を持っていて、事件があったときに「なぜセキュリティポリシーを守っていない」という言い方をする。しかし、非常に複雑なソフトウェアの組み合わせであったり、バージョンの組み合わせだったりと、かつてポリシー作成した時代との乖離が起きてしまっている。
考えてみれば、日本の会社がセキュリティポリシーを導入したのは約10年前で、その頃はゼロデイ攻撃もありませんし、APT攻撃も無い。装置系が狙われるなど、誰も思っていませんでした。そういう意味では、セキュリティポリシーの見直しの時かもしれません。セキュリティ戦略、セキュリティアーキテクチャ、ガバナンスなど、もう少し現実感のあるところを見ていく必要があります。
―― やはりIT戦略とライフサイクルを、トータルで見ていく必要があるということでしょうか。
藤田 そうです。状況が変わったので、戦略を変えていいと思うのです。少なくとも10年前にSNSなどありませんでした。スマートフォンもタブレットもなかった。
セキュリティには様々なものがあります。道路での転倒防止もセキュリティだし、物の盗難防止もセキュリティ。ICTは特殊で専門性があるので、別ラインで専門家を配置したリスク管理オフィスのようなものが必要です。「法律さえ決めれば大丈夫」ではありません。
―― 少し前はJ-SOXがらみで企業のガバナンスに関しては、非IT系が大きかったという背景もあると思います。
藤田 J-SOXでは、内部のお金が関係する部分で、職務分掌など様々な整備をしています。しかしそれ以外の部分、たとえば顧客向けのシステムはJ-SOXの対象ではありませんでした。J-SOXのエネルギーを持って、顧客と接しているシステムを見直すことができればいいのですが。
