セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。
機密情報の流出など、企業をゆるがす事件が数々のメディアで報道されています。セキュリティインシデントの数はうなぎ登り。悪意を持つハッカー同士のコミュニティが形成されている今、ノウハウの共有が促進されたり、攻撃用のツールが開発されたりといった動きが、サイバーアタックを増殖させているのです。
ここの所で広く知られた事件としては、米国で小売店チェーンを大規模展開するターゲット社のケースがあります。最初の“入口”となったのは、店舗の空調管理を行うパートナー企業のシステムでした。そこに忍び込み、“本丸”システムにリモートログインするための情報を詐取。次いで、店舗内のPOSレジスターにマルウェアを仕込んで、顧客のクレジット/デビットカードのデータをごっそり盗み出すというものでした。問題解決のためにターゲット社に発生した費用は1億ドルを超えるとも言われています。
これは決して特殊な事件ではなく、同じようなことは、業種を問わず、しかも世界中の企業で起こり得ることなのです。ビジネス活動とITは一体のものとなっており、しかも企業システムは拡大化・複雑化の一途をたどっている。そのため、セキュリティ上、“完璧”なものを考えるのは非現実的とも言える状況です。
家に例えてみましょうか。レンガ造りで、ドアも窓もない建物を築けば、かなり安全なものとなります。でも、これじゃ豊かな生活は営めない。ドアも必要だし、窓だって一定の数がないと快適じゃないですよね。その上で、安全を担保するために「鍵をかける」という知恵が生まれたわけですが、施錠すべき箇所が増えるに従って、うっかり忘れるということが起きてしまう。企業システムでは、今、これと同じことが起きているように思うのです。
いまだ圧倒的に多いのは脆弱性を突くランダム攻撃
さて、ここで最近のセキュリティインシデントの実情を少し整理しておきましょう。標的型攻撃のように、ある特定の企業を狙うアクションが話題となっていますが、いまだ圧倒的に多いのがランダム攻撃です。全方位的に探りを入れて、侵入し得る抜け道を探し出す。見つからぬように忍び込んだ先に“金目”のものがあれば幸い、それを奪取して、儲けを手にするというものです。
一般的な手口はこんな感じです。まずは企業システムの中の「脆弱性」を洗い出す。各種サーバーのコンフィグレーションの間違いや、パッチがあたっていないOS/ミドルウェアなどは典型例です。悪意のない社員による操作をうまく利用するなんて手口もあります。
脆そうな入口が見つかったなら、「エクスプロイトツールキット」と呼ばれるものを使って、そこに穴をあけ、ぐいぐいと拡げていく。十分な侵入口を確保した後はいよいよ最終局面。中を探索して、ここぞという場所にマルウェアを仕込み、いとも簡単にデータを盗んでいくのです。
攻撃側の巧妙さにスポットが当たるばかり、企業はもはや、手の打ちようがないというような見方がされることがありますが、その認識は改めるべきです。最低限で“やるべきこと”にきちんと手を打っていれば、実はリスクはぐっと低くなることを念頭に置いておくべきです。
では、最低限やるべきこととは何でしょうか。一言でいえば「アタックサーフェイス」を極小化すること、つまり、システム全体において侵入し得る余地を徹底的につぶしていく地道な取り組みなのです。
もう少し具体的な話をすると、大きく2つのポイントがあります。1つは脆弱性を常に把握し、危険度の高い所に、設定変更やパッチ当てなどの対策を迅速に打つこと。2つめは、特権アカウントの管理を徹底し、サーバーやソフトに対してできる操作を厳密に制限することです。
言ってしまえば至極シンプルなものの、これだけで危険度は大きく下がるのです。2013年、企業ITにかかわる分野では何千という脆弱性が見つかっていますが、その中で実際にエクスプロイトツールキットによって侵入されたのは4.7%と、ごく僅かだったという報告があります。日々新たに出てくる脆弱性の数におののかず、その中でも重要度の高いものに手を打てばよいとの認識を持ちましょう。
仮に侵入を許してしまったとしても、マルウェアがシステム内で悪さをしでかそうとする時には管理者としてのアクセス権限がないと局所的なことしかできません。だからこそ“万能”の特権アカウントの管理を徹底する、基本的には誰にも与えない、与えるとしても期間限定とし作業が終わったらきちんと回収するといった取り組みが重要となるのです。
これらは、ハッカーとしてならしたこともある私が信じて疑わない基本的なアプローチです。BeyondTrust社としての製品ポートフォリオも、こうした考え方に照らしたもの。主軸をなす製品ファミリーが2つあり、1つが特権アカウントを管理するPowerBrokerシリーズ、もう1つが脆弱性を管理するRetinaシリーズです。この春には、双方をBeyondInsightとして統合し、単一のコンソールから扱えるようにしました。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 【第6回】すべてのIT施策は「運用高度化」の課題に通ず(2014/09/12)
- 【第5回】“まだら模様”に染まるIT基盤の危うさ(2014/09/03)
- 【第4回】要諦となるのは“内部犯行”を阻止できるシステム環境(2014/08/18)
- 【第2回】 運用高度化に欠かせない「自己責任」と「イニシアティブ」(2014/04/10)
- 【第1回】 守りの意識から脱却し、戦略的なシステムマネジメントへの転換を(2014/03/28)
