本記事の関連資料として、下記の講演資料を公開しています。
「標的型やAPT攻撃対策を踏まえたセキュリティアプローチによる経営リスクマネージメント」(日本HP 藤田 政士 氏)
「サイバー犯罪史にみるセキュリティ市場動向~」(田中 宗英 氏、増田 博史 氏)
「モバイルを最適化する HP社内IT環境の作られ方」(佐藤 慶浩 氏)
セキュリティパッチが間に合わない。ゼロデイ攻撃の脅威
―― 2013年は、韓国でのサイバーテロが取り沙汰されました。日本でもInternet Explorerの未解決の脆弱性を悪用した標的型のゼロデイ攻撃で様々な問題が明らかになりました。この間のセキュリティに関する動向はいかがでしょうか。
藤田 私がこの1年で強く感じたのは2点です。まず、アプリケーションの防御が全然できていない。次に全社系での構成管理が、開発したときのライブラリ環境を含めて非常に弱いということです。
2~3年前から、欧米ではアプリケーション・セキュリティが重要だとの認識が強まっています。そのため、破られても絶対にパスワードなどの重要情報は流出させない、カード情報は同じ場所に置かない、情報間の結びつきも分からないようにする、などの対策を講じている。
一方、現在の日本でメインで動いているWeb系のアプリケーションは、セキュリティを考えると非常に弱いものが多い。破られると本当に危ないというのが実情です。
次に構成管理の問題ですが、その理由の一つとしてゼロデイ攻撃、つまりソフトウェアのセキュリティ問題が発覚し、その対策が講じられる前に攻撃されることが増えていることがあります。インフラ系の方は、最新型の装置を入れるなど対策をしているのですが、パッチの配布には2週間程度かかる場合がある。ところが攻撃用のキットは2日後にできるというような話になってくると、ファイアウォールなどのインフラだけで、水際で一滴も漏らさず守るというのは無理です。侵入されてしまった場合にすぐに検知し、被害を最小限にする方策などが必要になっているのです。
今年のゼロデイ攻撃で残念だったのは、複雑化していることです。たとえば「バージョン○○がやられる」というのではなく、「○○のライブラリを使っていると脆弱性がある」というのがあリました。それに該当するかを調べるのに結構時間がかかる。先月、Windowsのパッチにもありましたし、Javaのバグは相変わらず多く、40~50個の単位で来てしまう。そうなると、きちんとした構成管理の仕組みを持っていて、開発環境も含めてパッチ情報も把握していないと分からない。
さらにPHPで作っていたアプリケーションが、ある部分だけRubyで直したということがあり得る。そうなると、Javaの50個ぐらいのパッチのどれが、何に関係しているのか判断することができません。そこで、セキュリティ視点の構成管理の概念が必要なのです。
―― やはりゼロデイ攻撃の脅威は高まっているのでしょうか。
藤田 今までは攻撃と防御は良い勝負で、パッチも間に合い、場合によっては「あるサービスを落とせばいい」という話でした。ところが今回、いくつかのApache系のパッチは間に合わず、攻撃の方が早かった。よく言われている様に、インターネット空間では攻撃の方が間違いなく有利です。攻撃ツールにバグがあっても構わないのですから。
HPのセキュリティ調査・研究チームHP DVLabsのメンバーに聞いたところでは、セキュリティの闇マーケットが存在しているそうです。脆弱性を見つけたら、まずカネになるところに行き、少し経ってからホワイトハットの方に売る、ということもあり得る。
さらに攻撃側のレベル、というより目的が変わってきています。今まではよく言われるように「ほら、穴がある」と技術力を誇示するような世界だったのが、IDを盗み出して脅迫するなど、犯罪目的が多くなっています。
さらに問題を深刻にしているのが、昨年の講演でもご紹介した、アノニマスのようなハクティビストの存在です。彼らには信条があり、“正義”のつもりで学び、攻撃していますからやっかいです。さらに、横の広がりも大きい。
今年、日本では新聞の一面を飾るような事件はなかったのですが、グローバルで見るとやはり発生しています。先日もAdobeが狙われましたが、深く浸透して黙ってソースコードを持って帰り、何年後に使う、というようなレベルになっているのです。
セキュリティポリシーを見直すべき時期にきている
またITは、バージョンの変化が非常に早いため、パッチも何も当てていないシステムが数多く存在します。中には当てるとしたら、3バージョンぐらい前に戻さなくてはならないものもある。そのために3回テストができるかといえば、できません。あと2年ぐらいで使うのを止めようとしているシステムだったとすれば、パッチに何千万円もかけられない。ただ、昨年の講演でもお話しした通り、インターネットに接続していないシステムでも、攻撃対象になり得ます。
そこである会社では、そうしたシステムにIDSとかIPSを入れてモニタリングを強化し、少しでも異常があったら、すぐに検知できるようにしています。この手法を私は“仮想パッチ”と呼んでいます。
つまり柔軟性を持った考え方でやっている。理想はもちろん、最新のセキュリティパッチが当たっていることですが、現実解としては、特に大きな会社の場合、難しい場合があります。
その辺はやはり、これも昨年の講演で話しましたが、セキュリティポリシーだけでは無理なのです。ポリシーで「最新にしておく」としていても、現実問題として不可能。ポリシーを越えたセキュリティ戦略を持ち、コストを意識しながら、最良の方法を採る必要があるのです。
ある会社の事例ですが、ITの実情を知らない法務部門、管理部門がセキュリティの責任を持っていて、事件があったときに「なぜセキュリティポリシーを守っていない」という言い方をする。しかし、非常に複雑なソフトウェアの組み合わせであったり、バージョンの組み合わせだったりと、かつてポリシー作成した時代との乖離が起きてしまっている。
考えてみれば、日本の会社がセキュリティポリシーを導入したのは約10年前で、その頃はゼロデイ攻撃もありませんし、APT攻撃も無い。装置系が狙われるなど、誰も思っていませんでした。そういう意味では、セキュリティポリシーの見直しの時かもしれません。セキュリティ戦略、セキュリティアーキテクチャ、ガバナンスなど、もう少し現実感のあるところを見ていく必要があります。
―― やはりIT戦略とライフサイクルを、トータルで見ていく必要があるということでしょうか。
藤田 そうです。状況が変わったので、戦略を変えていいと思うのです。少なくとも10年前にSNSなどありませんでした。スマートフォンもタブレットもなかった。
セキュリティには様々なものがあります。道路での転倒防止もセキュリティだし、物の盗難防止もセキュリティ。ICTは特殊で専門性があるので、別ラインで専門家を配置したリスク管理オフィスのようなものが必要です。「法律さえ決めれば大丈夫」ではありません。
―― 少し前はJ-SOXがらみで企業のガバナンスに関しては、非IT系が大きかったという背景もあると思います。
藤田 J-SOXでは、内部のお金が関係する部分で、職務分掌など様々な整備をしています。しかしそれ以外の部分、たとえば顧客向けのシステムはJ-SOXの対象ではありませんでした。J-SOXのエネルギーを持って、顧客と接しているシステムを見直すことができればいいのですが。
次はソフトウェア・デファインドのインフラが狙われる?
―― Windows XPのサポート終了に関する脅威はいかがでしょうか。
藤田 Windows XPの制御系が山ほどありますから、その辺を狙われてしまうと、非常に怖いと思います。ところがお客様にはまだ、危機感がありません。「別にパッチ当てなくても、古くなるから逆に攻撃が起きないだろう」とか。最近ではUSBメモリの使用禁止とか、だいぶ対策が行われていますが、しかし無数の接触ポイントがある現在、本当に病気のウイルスと同じで、どこかですれ違っただけで移るかもしれません。
「XPだけは何とかした方が」と言うのですが、ガバナンスが弱くてどこに何台XPがあるのかすら把握できていません。
それからもう一つの脅威として今、すべてがソフトウェア・デファインド(SD)になっていることが挙げられます。たとえばネットワークにLinux系のOSが入っていますが、以前はルーター系の特殊なOSが入っていた。それでもバグがなかったわけではありませんが、攻撃される可能性は低かった。
ネットワークだけでなくストレージなどもSDになっていて、そうなってくると、そこを狙ってくることが当然、あり得る。さらにソフトウェア化が進むと、XPのような古い物もそうですが、新しい物も脅威になる。新旧が混在しているといよいよ難しくなります。SD化の脅威はまだ指摘されていませんが、間違いなく出てくると思います。
そうなると、ITの専門家によるきちんと区分けが必要になります。本来、ネットワークで守れる物が数多くあるのです。たとえば制御系のネットワークは、アドレス体系がまったく違うので、ネットワーク系、ストレージ系をきちんと分けておく。ストレージはストレージにしか行けない。ただ、そういうことをきちんと行っている会社は意外と少ないのが現状です。
一個破られて、そこから管理系に入られると分かってしまったら、人間で言えばリンパ管に入ったようなもの。全部に広げられてしまいます。
もちろん、インターネットに面しているところとか、最近作ったものはそうなっています。ところがストレージ用に作ったものが、地方に行ったら普通のネットワークに使われていたという事例がありました。そのように、ネットワークのアドレスガバナンスといったものが十分ではない。特に心配なのは日本のグローバル企業で、海外に対するガバナンスが弱い。裏では繋がっているわけですから。
HPではM&Aなども行うため、その脅威に気づいて今から15年ぐらい前に、見事なぐらい厳しい仕組みを入れています。分けられているネットワークを越境するものがあれば、すぐに分かるように押さえているのです。
一方、ネットワーク分離の後付は難しいのです。さらにSDでものすごく複雑になってしまい、管理できない。そういう意味で言うと、リアーキテクティングの時に来ているのかなと思います。
BYOD時代に即したユーザー教育が必要になっている
さらに古い問題の話になりますが教育、ユーザーの意識もどんどん変えていかなければなりません。HPの業務用PCの場合、データは暗号化してあって、VPNでないと会社のネットワークにはつなげません。ですから盗聴は無いのですが、誤ったダウンロードは可能です。たとえば自宅で作業していて、タバコを吸いに庭に出た瞬間、息子が操作してFacebookに飛んで「このゲームが面白い」という書き込みを見て、そこに飛んでフィッシングサイトに引っかかるかもしれない。
スタンドアローンで立ち上げて埋め込まれ、気がつかないで会社のネットワークにつないだら感染ということがあり得る。それはBYODでも同様です。子どもでも使える環境になっているので、変な話ですが、家族も教育する必要があります。「お父さんのパソコンを使っては駄目」と。
ありとあらゆる人がITを使えるようになっているので、セキュリティの考え方を変えなければならないのです。
―― モバイル、BYODについて、今年の状況はいかがでしょうか。
藤田 多くの企業では、あまり踏み込んでいなくて、Webが見られるレベルです。業務アプリケーションまではいっていません。
例外はある建設会社で、現場の業務をすべてBYODでできるようにしています。何かデータが出ればそこで入力するという“発生主義”を採用している一方、担当者の8割が現場にいる。そこで大英断で仕組みを入れたのですが、そのために24時間365日のセキュリティインシデントに対するレスポンスの仕組みを作っています。
ただ、1年前と比較してBYODは急速に広がっています。そこでは皆さん、割り切っている。はじめは水際防御で、指紋認証、コンテンツ認証、持ち出しの厳しい制限をしていたのですが、今は情勢に押されて「どこで使ってもいい」と。
支給のウルトラブックは業務時間と業務場所で使うのだから良いのですが、BYODの機器はプライベートでも使う。飲み屋で友人に画面を見せたり、海外旅行の際も持っていく。それに対応できるのか、考えなくてはなりません。
最後にまとめますと、最近、新聞沙汰になるような事件は起きていませんが、BYODやAPT攻撃の可能性は確実に広がっています。セキュリティ担当者と従業員は変わっていかなければなりません。相手の動機も変わっている。古いセキュリティポリシーは通じない過渡期だと認識すべきです。古い物も新しい物も危ない。日本では一度買うと償却するだけですが、メンテナンスが必要です。
―― 本日は貴重なお話をありがとうございました。
本記事の関連資料として、下記の講演資料を公開しています。
「標的型やAPT攻撃対策を踏まえたセキュリティアプローチによる経営リスクマネージメント」(日本HP 藤田 政士 氏)
「サイバー犯罪史にみるセキュリティ市場動向~」(田中 宗英 氏、増田 博史 氏)
「モバイルを最適化する HP社内IT環境の作られ方」(佐藤 慶浩 氏)