「マルウェア」とは何か?
「ウイルス」との違い、種類、感染経路、対策方法を解説

Share

セキュリティ事故のニュースでしばしば耳にする「マルウェア」。以前よく聞かれていたのは「ウイルス」ですが、いまや攻撃の手口は「ウイルス」という言葉で表せる範囲を超え、多様化・巧妙化しています。それらを総称するものとして新たに使われるようになったのが「マルウェア」という言葉です。

マルウェアの種類は、「トロイの木馬」や「スパイウェア」などに分類され、なかにはオンラインバンキングの不正送金やシステムへの不正侵入に使われるようなタイプもあります。

マルウェアの感染経路は「電子メール」「Web閲覧」「記憶媒体」等で、主な対策方法としては、検知や除去をおこなう「ウイルス対策ソフト」導入のほか、標的型攻撃メール訓練や、セキュリティ診断などが有効です。

マルウェアとは

「マルウェア」とは「malicious(悪意のある)software(ソフトウェア)」の略称です。マルウェアは、コンピュータ、サーバ、クライアント、コンピュータネットワーク等に損害を与えるため、あるいはユーザの意図や利益に反する活動を行うために設計されたソフトウェアです。さまざまなタイプのマルウェアが存在します。

ウイルスとマルウェアの違い

「ウイルス」はマルウェアの一種です。インターネット黎明期、「ウイルス」と呼ばれるプログラムの多くは、コンピュータサイエンスを学ぶ学生などによって、実験やイタズラ目的で開発されていました。

諸説ありますが、実験やイタズラの範疇を超える、明確な悪意を持った犯罪者や組織によってウイルスが作られはじめた2005年頃から「マルウェア」という言葉が使われるようになりました。

こんにちマルウェアは、サイバー犯罪者や犯罪組織、各国の政府などによって開発され、個人情報や金融情報、知的財産、機密情報を盗んだり、プライバシーを侵害する意図で利用されています。

マルウェアの代表的な種類

代表的なマルウェアとしては、以下のようなものがあります。

ウイルス 多くの場合、一見無害に見えるファイルの中に隠されています。ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行います。
ワーム ワームはウイルスとは異なり、ファイルの中に隠れていることはありません。自己増殖もワームだけで行うことができます。ウイルスやワームは感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散します。
トロイの木馬 無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェアです。ウイルスやワームと異なり自己増殖することはありません。古代ギリシャ時代、トロイの街を攻撃するため、贈り物に見せかけた大きな木馬に兵士を潜ませて侵入を行った方法が名前の由来です。主にバックドア*1と呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり*2、別のプログラムをダウンロードするなどの動きをします。
スパイウェア 個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信することを目的としたマルウェアです。
アドウェア 多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示します。すべてが違法とは言えない場合もあります。
ランサムウェア ユーザのファイルやデータを勝手に暗号化し、身代金(ランサム)を支払うまで復号しないと脅すマルウェアです。身代金を払ってもデータが元に戻るとは限りません。
キーロガー コンピュータのキーボード入力を記録するソフトウェアで、本人の同意や法的根拠なく使用された場合にマルウェアとみなされます。パスワードや機密情報を盗むために使用されます。
バックドア*1 英語で「裏口」の意味で、一度侵入したシステムなどに次回以降も不正にアクセスする際、それを容易にするために設けられる通信接続手段を指します。
ボット マルウェアによって乗っ取られ、遠隔からの指示によって自由に操られるようになったコンピュータを、「ボット」または「ゾンビPC」と呼びます。複数のボットをボットネットとして制御し、DDoS攻撃等のサイバー犯罪に悪用します。
バンキングマルウェア*2 オンラインバンキングのIDやパスワード、クレジットカード情報などを盗むマルウェアです。不正送金などの被害が報告されています。
ファイルレスマルウェア 通常のマルウェアはコンピュータのハードディスク内に存在しますが、コンピュータのRAM内でしか動作しないように設計されているマルウェアです。

マルウェアの検知と除去を行う「ウイルス対策ソフト」

こうしたマルウェアを検知・除去する対策として使われるのが「ウイルス対策ソフト」(「アンチウイルスソフト」)です。ウイルスの対抗手段であることから、古くは「ワクチン」とも呼ばれました。

ウイルス対策ソフトは「パターンマッチング」と呼ばれる方法でマルウェアを検知します。ウイルス対策ソフトがあらかじめ持っている「パターンファイル」「定義ファイル」と呼ばれるマルウェアの特徴に関するデータと参照することで、マルウェアを検知します。

しかしパターンマッチングでは、まだ出回っていない新しいマルウェアを検知できません。そのため、プログラムの挙動を分析してマルウェアを検知する「ヒューリスティック分析」「振る舞い検知」などの技術が開発されました。

一方で近年、膨大な数の新しいマルウェアが作られたり、ブラックマーケットにおいて主要なアンチウイルスソフトでは検知できないマルウェアが販売されるなど、ウイルス対策ソフトだけでは充分な対策とは言えなくなっています。

マルウェアの3大感染経路は「電子メール」「Web閲覧」「記憶媒体」

マルウェアの感染経路としては、大きく「電子メール」「Web閲覧」「記憶媒体」の3つが挙げられます。

「電子メール」経由の感染 標的型攻撃メールなどで、メールの添付ファイルを開いたり、文中に記載されたURLをクリックすることでマルウェアに感染します。
「Web閲覧」経由の感染 単にWebサイトをブラウザで見るだけで感染する「水飲み場型攻撃」などが知られています。
 USBメモリなどの
「記憶媒体」経由の感染
USBメモリやCD-ROM、DVD、外付けHDDなど、各種記憶媒体などもマルウェアの感染経路として悪用されます

その他にも、ファイル共有ソフトで手に入る音楽や動画ファイルを装ったマルウェアや、ソフトウェアのニセのアップデートを装うものなど、さまざまな感染経路が存在します。

マルウェアに感染した場合の「症状」や「被害」

実験やイタズラ目的で開発されたマルウェアの多くは、ユーザに派手なメッセージを見せたり、アドレス帳にあるメールアドレス宛に手当たり次第に勝手にメールを送ったり、あるいはPCの挙動を重くするなど、感染したことが明白である症状を呈したり挙動をするものが少なくありませんでした。

現在も、オンラインバンキングで不正送金を行うマルウェアや、重要データを暗号化して身代金要求を行うランサムウェアなどは、目に見える被害や症状を示すマルウェアといえるでしょう。

しかし、前述したようなサイバー攻撃の目的の変化によって、ユーザにまったく感染を気づかせないマルウェアも増えています。

一連の攻撃活動を行った後で、自らを消去して完全に痕跡を消す自己消滅型のマルウェアも存在しており、すべてのマルウェアに自分で気づくことはおよそ不可能といえます。

マルウェア感染に気づいたときの「対処方法」

もしマルウェア感染したことが明らかであるならば、Wi-Fi機能のOFFやLANケーブルを抜くなどのネットワーク切断はすぐに行った方がいいでしょう。ネットワークを経由して感染を広げるインターネットワームなどの拡大を抑えることができます。

一方でPCやサーバの電源を落とすことは避けてください。感染経緯の究明などに利用できる証拠が失われることがあり、事故調査や、その後の適切な対策実施に悪影響を及ぼします。

多くの会社で、マルウェアに感染した場合の対応手順が決められています。まずはネットワークを切断し、速やかに情報システム部門やネットワーク管理者に連絡して指示に従ってください。

マルウェアに感染する前にできる「予防対策」

各ユーザのクライアントPCのマルウェア対策としては、ウイルス対策ソフトの利用がもっとも一般的な方法です。また、最近ではEDR(Endpoint Detection and Response)製品などを利用するケースも増えています。これに加えて、3大経路の1つである電子メールからの感染を防ぐ対策として、標的型攻撃メール訓練によるユーザ教育が有効でしょう。また、ランサムウェア攻撃を受けた場合の復旧に備えたデータのバックアップなども重要になります。

一方で、管理者の観点からはマルウェア感染の脅威が及ぶのはPCだけではありません。自社が提供するWebサイトにマルウェアや不正なコードを埋め込まれる「Web改ざん」にも同様の注意が必要となります。こうした攻撃を許してしまう要因はクロスサイトスクリプティング(XSS)などの脆弱性です。そのような脆弱性が存在しないかどうかは、Webアプリケーション診断などによって感染の前に明らかにすることができます。Webサイトの改ざんを検知するサービスも存在します。

また、これは感染予防対策ではありませんが、感染したことにいちはやく気づくために、SOC(Security Operation Center)サービスなどを利用して外部との不正な通信を検知したり、ログを収集して分析することも有効です。

まとめ

・マルウェアとは「malicious(悪意のある)software(ソフトウェア)」の略称で、ウイルスもマルウェアの一種です。
・ウイルス対策ソフトだけでは検知できないマルウェアも存在します。
・マルウェアの主な感染経路はメール・Web・USBメモリなどの記憶媒体です。
・もし感染に気づいたらネットワークを切断します。ただし電源を切ってはいけません。
・予防対策として標的型攻撃メール訓練やセキュリティ診断なども有効です。

関連情報

●標的型攻撃とは? 事例や見分け方、対策をわかりやすく解説

●セキュリティ診断の必要性とは?


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

テレワーク環境下における営業秘密の保護

Share

緊急事態宣言が解除されて1か月余り。通常勤務に戻る企業もあれば、テレワークを存続させる企業もあり、対応はさまざまです。不動産業界の調べによれば、東京都心のオフィスビルの空き室率は2020年3月以来微増しており、テレワークを今後も継続する企業は少なくないようです。

もともと欧州ではワークライフバランスの立場から在宅勤務(テレワーク)を推進してきました。オランダでは2016年に労働者が自宅を含む好きな場所で働く権利を認める法律が施行されています。フィンランドでも今年1月に同様の法律が施行されました。コロナ禍によってこうした動きは一層加速されており、米国は民間企業主体ではあるものの、やはり大手IT企業を中心に在宅勤務を義務化・恒久化する動きがあります。

しかしながら、日本においてはテレワークが欧米ほど浸透していません。国土交通省が今年3月に実施した「令和元年度テレワーク人口実態調査」では「会社でないと閲覧・参照できない資料やデータがあった」のは26.8%、また、セキュリティ対策に不安があったのは3.4%とありました。情報へのアクセス整備やセキュリティ対策不備に伴う漏えいへの不安がテレワーク推進の妨げになっていると考えられます。

テレワークにおける情報漏えいの不安

テレワークの場合、自宅での「在宅勤務」、出先や移動中に行う「モバイルワーク」、シェアオフィスなどを利用する「サテライトオフィス」のいずれにしても、インターネットを通じて業務データを社外で利用することに変わりありません。また、作業者が使用しているPCに重要なデータをダウンロードして作業する場合、セキュアゾーンで実施されないことも多いでしょう。そこにセキュリティ上の不安があるものと思われます。

総務省「テレワークセキュリティガイドライン第4版」においても、起こりうる事故として「情報漏えい」「重要情報の消失」を挙げています。確かに、企業が保有する設計図・製造ノウハウ・調査研究データなどの技術的な情報、取引内容・顧客リスト・財務データなどの営業上の情報は、事業存続および競争力強化にとって重要な情報資産であり、漏えいすることによるリスクははかりしれません。こうした懸念から、テレワークへの切り替えを躊躇する向きもあるでしょう。

そこで、適切にセキュリティを確保して情報流出の不安を解消しながらテレワークを実施できるよう、経済産業省は5月7日、「テレワーク時における秘密情報管理のポイント (Q&A解説)」を公表しています。以下に、そのポイントをみていきましょう。

「不正競争防止法」により保護される営業秘密(機密情報)

セキュリティ対策によって保護すべき、企業が保持する「営業秘密」は、一定の要件を満たすことで不正競争防止法の下で保護されます。法的保護を受けることにより、例えば電子データで取り扱われている機密情報がセキュリティの脆弱性を突かれて漏洩した場合でも、差止請求や損害賠償請求などが可能です。このため、事業における金銭的被害や信用失墜といったリスクを軽減できます。

ただし、営業秘密として法的に認められるためには、対象となるデータに対して以下の条件が整っていることが必要です。

1.秘密管理性:その情報が秘密であるとわかるように管理されていること
2.有用性:事業活動に役立つ情報であること
3.非公知性:世間一般に知られていないこと

「秘密管理性」の趣旨は、「企業が秘密として管理しようとする対象(情報の範囲)が、従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては経済活動の安定性を確保する」ことにあるとされています。つまり、情報が営業秘密として保護されるためには、「秘密である」こと自体をはっきり示す必要があります。

「非公知性」は、営業秘密保有者の管理下以外では一般的に入手することができない状態とされています。このため、営業秘密としての条件を満たすには、容易に人に見られたり、聞かれたりしないようにしなければなりません。

テレワーク環境で営業秘密を保護する対策

テレワーク環境下で、秘密管理性と非公知性の要件を満たして情報を保護しつつ、情報漏えいを防止するには、状況に応じて以下のような対策が挙げられます。

状況別 対策の例
テレワーク対応導入の第一歩 ●営業秘密管理規程、情報取扱規定等をテレワークに即した内容に改訂
●諸規程の従業員に対する周知徹底
●情報に応じたアクセス権者の設定 等
業務における情報持ち出しおよび
社外からのアクセス
●データのファイル名や当該データ上に「㊙」(マル秘)・「社内限り」等の秘密であることの表示を付す*1
●情報のコピー・持ち出しにおける上長等の事前許可/返却・破棄ルールの周知・徹底と持ち出し記録の整備
●紙の資料・PC等を机上等に放置しないといった取扱いルールの徹底
●ID・パスワードによるアクセス制限の実施
●チャットツールで営業秘密についてやりとりするスレッドと参加者を限定 等
社外作業 ●PCにのぞき見防止フィルム等貼付の徹底
●音声が漏れない場所でのオンライン会議実施徹底
●公共無線LANの使用禁止、従業員のポケットWi-Fi・テザリングの禁止、業務使用Wi-Fiの貸与 等
情報漏えい、不正持ち出しの防止 ●メールの転送・添付制限、送信前の上長承認、上長のCC追加設定
●遠隔操作でPC内データを削除できるツールの利用
●PCに対するUSB、スマホ接続不可設定
コピーガード付き記録媒体の利用 等

営業秘密として秘密管理性要件を満たすと認められる技術的要素

テレワークにおける情報流出対策として規程を整備し、徹底した従業員教育を行ったとしても、所詮は人間が実施することであるため、悪意の有無にかかわらず、すべてが絶対確実に守られるとは言い切れません。そのため、前述の対策の例にも、技術的に強制するような仕組みがいくつか含まれています。

アクセス制御と権限管理の徹底

データ管理における秘密管理性要件については、通常、アクセス制御が実施されていることをもって、「秘密である」ことを示すと見なされています。これは、アクセス制御の基本的な考え方が、当該情報を知るべき者だけが情報にアクセス可能であるべきという「Need to Know」の原則に基づいていることと関係があります。アクセス制御とは、正規に承認されたユーザにのみコンテンツへのアクセスを許可するセキュリティ対策だからです。

このため、秘密管理性の要件を満たすためには、アクセス制御自体が適正に実施されている必要があります。例えば、同じアカウントを複数の従業員が使い回しているような状態や、パスワードに社員番号をそのまま当てはめていて他人が容易に推測可能な状況の場合、秘密管理措置を講じていないと判断される恐れがあります。

アクセス制御が「対象へのアクセスそのものを制御する」のに対し、「行為の実行権限を管理する」のが権限管理です。権限管理とは、ログインによってWebシステムやファイルサーバへアクセスするためのユーザを認証するシステムにおいて、各ユーザアカウントの役割を定義し、データに対する閲覧・編集等、実行できる処理についての権限を付与・管理することを言い、当該ユーザに対して必要最低限の権限を付与する「最小権限の原則(Least Privilege)」を適用します。データの重要性や種類に応じて、特定のグループだけが編集権限を持ち、他の従業員には閲覧のみを許可するといった設定です。

適正なアクセス制御・権限管理のどちらが欠けても「脆弱なシステム」であると言わざるを得ません。

認証機構の堅牢化

アクセス制御に欠かせない認証機構ですが、IDとパスワードによる単要素認証は、リスト型ハッキング攻撃等の標的となりやすいため、テレワーク導入・継続に備え、パスワード強度に対するポリシーの見直しをお勧めします。現在、セキュリティの各種基準・仕様においては8文字未満のパスワードは脆弱であるとみなされており、14文字以上のパスワードが推奨されています。流出したパスワードや汎用的で推測容易なパスワードを排除する実装の導入も有効です。

しかしながら、ユーザにとっては長いパスワードを複数覚えておくのは至難の業であるため、パスワードの使いまわしもなくならないでしょう。これを防ぐには、ID/パスワード以外に、認証要素(指紋や顔等の生体認証、またはワンタイムパスワードトークンやSMS等の所有物認証)を1つ以上追加した、多要素認証の導入をお勧めします。

この他、データの管理についても注意が必要です。データをUSBやDVDに記録できないようにする、プロジェクト終了後のデータ消去について確認する手段を講じるなどです。

テレワーク導入・継続における技術的要素について、詳しくはこちらもご参照ください

法的要件の確認にも有効なセキュリティ診断

営業秘密として保護されるべき法的要件を技術的な側面で満たしているかどうか確認する有効な手段に、セキュリティ診断があります。営業秘密に当たる情報を扱っているWebアプリケーション、ネットワーク(プラットフォーム)、スマホアプリ、IoT機器等に対し、第三者であるセキュリティ専門企業による診断を受けることをお勧めします。

先に述べた、アクセス制御や権限管理が適切に導入・運用されているかも、セキュリティ診断によって確認できます。

自らは気づいていない脆弱性を洗い出して悪用された場合のインパクトを事前に調査し、技術的に対応できること、対応が難しければ法的保護を受けるために講じるべき回避策や代替手段として何を整備しておくべきかを検討するなど、リスク対応策を検討しておくことが事業継続の肝となります。


参考情報

・テレワーク時における秘密情報管理のポイント (Q&A解説)
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf

・逐条解説 不正競争防止法
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/20190701Chikujyou.pdf


まとめ

・テレワークは緊急事態宣言後も一定の割合で継続される見込み
・テレワーク導入・継続における情報流出の不安には、経済産業省による「テレワーク時における 秘密情報管理のポイント (Q&A解説)」が対策のヒントになる
・テレワーク環境下でも、会社の重要情報を「不正競争防止法」による法的保護の対象である「営業秘密」として管理することが肝要
・適正なアクセス制御と権限管理は営業秘密の秘密管理性要件を満たす技術的なセキュリティ対策である
・機密情報を扱うシステムに対するセキュリティ診断の実施は、リスク対策における技術的な対応策と法的保護策の切り分けにも活用できる

関連情報

●<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長

●<コラム>「ゼロトラストアーキテクチャ」とは?


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

テレワーク環境に求められるセキュリティ強化

Share

6月21日に内閣府が公表した「新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」によれば、新型コロナ対策で外出自粛が求められた後、全国でのテレワーク実施率は全国で34.6%、首都圏では48.9%にものぼります。

また、今後もテレワークを断続的ではあっても継続したい就業者は34.6%、首都圏で48.9%と、テレワーク実施率とほぼ同数であることから、今後もテレワークは一定の割合で継続するとみて差し支えないでしょう。

しかし一方で、コロナ禍以前からテレワークを推奨して準備していた組織ばかりでなく、 急遽、テレワークに移行したという組織も少なくありません。このように急遽実施されたテレワークでは、業務自体が成立することがまず優先され、必ずしもセキュリティの配慮がなされていたとは限りません。特に、テレワークで使用するクラウドサービスの認証情報を狙うフィッシング詐欺に関する社員教育や、在宅勤務でセキュリティ強度が低いホームネットワークを経由して業務を行うことのリスク対策について準備万端であるといいきれる組織ばかりではなかったでしょう。

そうした環境下でのテレワークはサイバー攻撃の格好の対象ともいえます。政府や警視庁もテレワークのセキュリティに関する注意喚起をおこなっていますが、具体的にどのような点に気をつければよいでしょうか。

テレワークとは

総務省によれば、テレワークは「ICT(情報通信技術)を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークの形態は、自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイルワーク」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス」の3つに分類できます。

在宅勤務によるテレワークには、子育てや介護で通勤が困難な従業員でも離職せずに済むメリットがある上、最近では、台風やコロナなど、従業員が出社できない状況でも事業を継続するBCP的側面での活用が見られます。政府も「働き方改革」の旗手として期待をよせており各省庁をはじめ、地方自治体においても、導入に対する相談窓口や助成金を用意しています。

テレワークのセキュリティの基本的考え方

テレワークを推進する総務省は、セキュリティの重要性に当初から着目し、2004年から「テレワークセキュリティガイドライン」を刊行しています。改訂が進み、最新版は2018年の第四版です。

ガイドラインでは、テレワークを実現する方法を「リモートデスクトップ」「仮想デスクトップ」「クラウド型アプリ」「セキュアブラウザ」「アプリケーションラッピング」「会社PC持ち帰り」の6つのパターンに分け、脅威を「マルウェア」「端末の紛失や盗難」「重要情報の盗聴」「不正アクセス」とし、起こりうる事故として「情報漏えい」「重要情報の消失」「作業の中断」を挙げています。

図:テレワークにおける脅威と脆弱性について

(画像出典:総務省:テレワークセキュリティガイドライン第4版より一部抜粋)

また、「経営者」「システム管理者」「実務担当者」別に、それぞれの事故やリスクへの具体的な対応策を整理し、「ルール」「人」「技術」3つの分野でそれぞれに弱点がない、バランスがとれた対策が肝要であるとしています。

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。先の内閣府の調査でも26.7%の人がセキュリティ面での不安を抱えています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる!」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って! そのテレワーク、セキュリティは大丈夫?」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター(NISC)は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

アフターコロナのセキュリティチェック

緊急事態宣言解除後、徐々にオフィス勤務に戻る組織も多いでしょう。先に述べたようなセキュリティ対策レベルの低い一般家庭環境で作業していた機器をいきなりオフィスの環境に戻すのは危険です。

NPO日本ネットワークセキュリティ協会(JNSA)が「JNSA 緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を公表しています。

テレワークを継続する組織も、オフィスワークに戻す組織も非常時稼働から通常稼働に移行する前にこうしたチェックリストを参照してセキュリティ点検をするのが望ましいでしょう。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。今回の新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染拡大にともなってテレワーク実施率は倍増した。
・多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・アフターコロナに対しては通常業務に戻る前にセキュリティ点検をしよう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

関連情報

●<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長

●<コラム>「ゼロトラストアーキテクチャ」とは?


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

前倒しで対処 ー セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とはー

Share

セキュリティにおける 「シフトレフト(Shift Left)」 とは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。元々この概念は仕様を満たしているか等の検証に対するソフトウェアテストのジャンルで使われていた言葉ですが、近年セキュリティの世界で注目されています。

ソフトウェア開発の主要工程である「設計」→「開発」→「検証」→「運用」の各プロセスは、計画書や図などで、通常左から右に向けて記載されます。図の左側(レフト)、すなわち時間軸の早い段階で脆弱性を作り込まない対策を施した開発を行えば、セキュリティリスクを低減させるだけでなく、品質向上、期間短縮、トータルコスト低減などの効果があります。

セキュアなWebアプリケーション開発を推進する国際NPO「OWASP(Open Web Application Security Project)」もシフトレフトを推奨しており、Googleをはじめとする先進IT企業ではこの考え方を採用したシステム開発を行っています。

「シフトレフト」と「セキュリティ・バイ・デザイン」「DevOps」「DevSecOps」との違い・関係

シフトレフトと関連する言葉に、「セキュリティ・バイ・デザイン」「DevOps(デブオプス)」「DevSecOps(デブセックオプス)」などがあります。

「セキュリティ・バイ・デザイン(SBD:Security by Design)」とは、開発の企画・設計段階からセキュリティを考慮することです。

「DevOps(デブオプス)」は、ソフトウェア開発チーム(Developer)と運用チーム(Operations)が互いに協力し合い、ソフトウェアとサービスのクオリティを向上させます。「DevSecOps(デブセックオプス)」は、開発チームと運用チームに、セキュリティチーム(Security)が加わり、セキュリティを含めトータルコストを低減しつつ、さらなるクオリティ向上を実現する仕組みです。

セキュリティ・バイ・デザインは概念、DevSecOpsは体制運用、そしてシフトレフトは工程管理の考え方ですが、いずれも、事故やトラブルが起こってから、あるいは脆弱性が見つかってから、といった事後対応のセキュリティ対策ではなく、事前対応、すなわち前倒しで実践する点で一致しています。

シフトレフトによって向上する品質

たとえば、ビルを建てた後になってから、建物の基礎部分に問題が見つかったら改修は容易ではありません。また、社会的な信頼も大きく損なうことでしょう。ソフトウェアも同じで、問題発見が早いほど、改修に必要な労力、費用、時間は少なくてすみますし、信用失墜の危険性も軽減できます。

リリース直前の脆弱性診断でWebアプリケーションに脆弱性が発見されたら、手戻り分のコストがかかるだけではなく、リリース日の遅れや、機会損失の発生を招き、ステークホルダーのビジネスにまで影響を及ぼしかねません。シフトレフトの考え方でセキュリティに配慮しながら開発を進めれば、こうしたリスクを低減でき、ソフトウェアの信頼度が高まります。

シフトレフトによるトータルコスト低減メリット

セキュリティに配慮せず開発を行えば、短期的にはコストを抑え、開発期間を短くすることができるでしょう。しかし、リリース後の運用過程で、もしサイバー攻撃による情報漏えいや知的財産の窃取などが起こったら、発生した損失や対応費用など、長期的に見たコストはより大きくなるでしょう。

こうしたトータルコストの低減効果こそ、シフトレフトによるセキュアな開発および運用の真骨頂です。

シフトレフトとは、発生しうるトラブルに事前に備えるということです。病気にならないように運動をしたり、食生活に気をつけたりといった、ごくごくあたりまえのことです。

つまり、これまでのソフトウェア開発は、その当たり前をやっていなかったとも言えます。シフトレフト、セキュリティ・バイ・デザイン、 DevSecOpsという言葉がいろいろな場面で見られるようになったことは、開発現場が成熟してきた現れでもあります。今後、こういった開発プロセスが新常識となっていくことでしょう。

シフトレフトを普及させた裁判の判決とは

ここで、セキュリティ視点でのシフトレフトの考え方を日本に普及させるきっかけのひとつになったとされる、2014年の、ある裁判の判決をご紹介します。

とある企業の開発依頼で納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性があったことで、不正アクセスによる情報漏えい事故が発生しました。依頼した企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として提訴、東京地方裁判所がそれを認め、開発会社に約2200万円の損害賠償支払いを命じました( 平成23年(ワ)第32060号 )。ただし、全面的に開発会社の落ち度としたわけではなく、発注会社側が責務を果たしていない点については、相当程度の過失相殺を認めています。

この判決は、これまで技術者がいくらセキュリティの必要性を説いても首を縦に振らなかった、セキュリティよりも利益を重視していた「開発会社の経営管理層」と、セキュリティよりもコストと納期を重視していた「発注者」の考えを変えるインパクトを持っていました。

将来事故が起こらないよう、トータルコストを抑えセキュリティに配慮した開発を行う有効な方法としてシフトレフトが採用されたのは、ごく自然なことといえるでしょう。

シフトレフト視点での開発上の注意

シフトレフトに基づく開発におけるセキュリティ対策の実施例は以下のとおりです。

●セキュリティ・バイ・デザイン
まず、セキュリティ・バイ・デザインの考え方に基づいて、企画・設計段階からセキュリティを考慮しましょう 。

●セキュアな開発環境
開発は、脆弱性を作り込まないようにするフレームワークやライブラリなど、セキュアな開発環境を活用して行います。

●ソースコード診断
開発の各段階で、プログラムコードに問題がないかを適宜検証するソースコード診断を実施します。

●脆弱性診断
もし、どんなセキュリティ要件を入れたらいいかわからなくても、独立行政法人情報処理推進機構(IPA)などの専門機関がいくつもガイドラインを刊行しています。「このガイドラインを満たすような開発を」と依頼して、それを契約書に記載しておけばいいでしょう。ガイドラインの中身を完全に理解している必要はありません。

リリース前や、リリース後の新機能追加等の際には、必ず事前に脆弱性診断を行います。また、脆弱性が悪用された場合、どんなインシデントが発生しうるのかを、さらに深く検証するペネトレーションテストの実施も有効です。

シフトレフト視点での発注の仕方

シフトレフトは主に開発者側の考え方です。では、ソフトウェア開発を依頼する発注者はどうすればいいのでしょうか。

まず、発注の際には必ずセキュリティ要件を入れましょう。納品されたシステムやWebアプリケーションにセキュリティの問題が発見された際に対応を要求しやすくなります。

もしそれによって見積額が上がったら、トータルコストのこと、シフトレフトというこれからの新常識のことを思い出していただきたいと思います。

・安全なウェブサイトの作り方(IPA)
https://www.ipa.go.jp/security/vuln/websecurity.html

シフトレフトが変えるセキュリティの未来

とはいえ、今回ご紹介したシフトレフトの考え方が社会に広く普及するまでには、もう少し時間がかかりそうです。

SQAT.jp を運営する株式会社ブロードバンドセキュリティが、リリース直前のWebサービスに脆弱性診断を行うと、山のように脆弱性が発見されることがあります。

その脆弱性の中には、2014年の裁判で開発会社の債務不履行とされたSQLインジェクションのような、極めて重大なものが含まれていることも多くあります。

業界が成熟し、シフトレフトによるセキュリティ対策が実践されていけば、脆弱性診断というサービスの位置づけ自体が将来変わることすらあるかもしれません。たとえば自動車のような、安全規格に基づいて設計製造された製品における出荷前の品質チェック、あるいは監査法人による会計監査のように、「きちんと行われている前提」で実施する広義のクオリティコントロール活動の一環になるかもしれません。

SQAT.jp は、そんな未来の到来を少しでも早く実現するために、こうして情報発信を行い続けます。

まとめ

・シフトレフトとは上流工程でセキュリティを組み込み、トータルコストを抑えるという考え方
・セキュリティを考慮せずにWebサービスを開発し提供するのは、たとえるなら建築基準法を考慮せずにビルを建ててテナントを入居させるようなもの
・セキュリティをコストととらえ費用を惜しむと、将来的により高い出費を余儀なくされる可能性がある
・シフトレフトによるセキュリティ対策には、セキュリティ・バイ・デザイン、セキュリティ要件の明示、セキュアな開発環境、早期段階から適宜に実施する各種セキュリティ診断等がある


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

情報漏えいとは? 代表的な原因や求められる対応策

Share

情報漏えいとは、サイバー攻撃などによる不正アクセスや、ノートPCの紛失などによって、企業や組織の保有する外部に出てはいけない情報が漏れてしまうことです。個人情報漏えいが特に注目されますが、企業の営業情報や知的財産、国家機密など、漏えいする情報は多岐にわたります。

インターネットの普及に伴い、Webサービスへの会員登録などで個人情報が大量に蓄積され、同時にノートPC・スマホ・USBメモリ等の記憶媒体の容量が増加、情報漏えいも大規模化しました。こうした社会の変化に対応し、2005年(平成17年)、「個人情報の保護に関する法律(個人情報保護法)」が施行されました。

個人情報保護法では、個人情報漏えいが発生した組織は、事実関係と再発防止策に関して、政府の個人情報保護委員会等に「速やかに報告するよう努める」とされており、業種によっては監督官庁への報告義務が課される場合もあります。

情報漏えいの重大度の違い

どんな情報が漏えいしたかによって漏えい事故の深刻度は異なります。「顧客の個人情報が○○件漏えい」といった報道の見出しを見かけますが、漏えいの件数以外にも、情報漏えい事故の重さ、深刻さを左右するポイントを挙げます。


・クレジットカード情報
被害に遭ったユーザーに金銭被害をもたらす可能性の有無という点で、漏えいした情報にクレジットカード情報が含まれていたかどうかは重要なポイントです。損害賠償等が発生した場合、クレジットカード情報が含まれていると被害者への賠償額がアップします。

・セキュリティコード
クレジットカード情報の名義人・カード番号・有効期限だけでなく、3桁のセキュリティコードを含むかどうかが事故の深刻さを左右します。被害に遭ったユーザーに金銭被害をもたらす可能性がより高くなるからです。

・パスワード
たとえばメールアドレスとセットでそれに紐付くパスワードも漏えいしていたとしたら事態はより深刻です。オンラインサービスなどに悪意の第三者が不正ログインできてしまうからです。

・平文パスワード
一般的にパスワードは、もしパスワードを記載したファイルが漏えいしても、第三者が内容を閲覧できないように暗号化して管理するのが常識です。しかし、稀に暗号化されていない平文(ひらぶん)のパスワードが流出する場合があります。こうなった場合、申し開きが全くできない最悪の管理不備のひとつとして、厳しい批判と鋭い糾弾の対象となります。擁護する人は誰もいなくなります。

・機微情報
信条(宗教、思想)や門地、犯罪歴等、さまざまな社会的差別の要因となる可能性がある情報を機微情報といいます。特に、各種成人病やその他疾病など、保健医療に関わる機微情報は医薬品のスパムメールや、フィッシングメールなどに悪用されることがあり、その成功確率を上げるといわれています。


以上のように、ひとくちに個人情報漏えいといっても、その重大さの度合いは異なり、社会やユーザーからの受け取られ方にも差があります。

弁解の余地もない真っ黒な管理状態ではなく、「不幸にも事故は起こってしまったが、打つべき予防対策は事前にしっかり打たれていた」と、ステークホルダーに理解されれば、ビジネスインパクトは限定的なものになる可能性もあります。

情報漏えいの原因は悪意にもとづくものだけではない

「ハッカーによるサイバー攻撃」「従業員による内部犯行」。情報漏えいが起こる原因としてすぐにこれらが思い浮かびますが、そういった悪意に基づく攻撃ばかりが情報漏えいの原因ではありません。

冒頭で挙げたPC・スマホ・USBメモリの不注意による紛失はいまも漏えい原因の多くを占めていますし、Webサイトのアクセス制限設定ミスで個人情報が見える状態になっていたり、開発中の会員管理システムのテストデータとして、うっかり誤って実在する個人の情報を使ったり等々、必ずしも悪意によるものではなく、管理不備やケアレスミスでも情報漏えいは発生します。

近年、クラウドコンピューティングが普及したことで、影響の大きい設定変更等の操作をブラウザからワンクリックで行うことが可能になりました。こうしたクラウドサービスの設定ミスによる情報漏えいも増加しています。

不正アクセスによる情報漏えい事故が増加している

もちろん、悪意ある攻撃も猛威を振るっています。ハッカーによるサイバー攻撃など、以前はアニメと映画の中だけのお話でした。しかし、不正アクセスによる情報漏えいが2010年以降増加し始めました。

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が毎年行っている調査「情報セキュリティインシデントに関する調査報告書」によれば、それまでの攻撃と質が異なる攻撃、「標的型攻撃」が観測されはじめた2010年頃から、不正アクセスが原因となるサイバー攻撃は8年で20倍という伸びを見せています。ケアレスミスや管理不備への対策とは別の手を打つ必要があります。

漏えい原因における不正アクセスの比率

2010年 1.0 %
2011年 1.2 %
2012年 1.5 %
2013年 4.7 %
2014年 2.4 %
2015年 not available
2016年 14.5 %
2017年 17.4 %
2018年 20.3 %

専門セキュリティ企業に調査や対応を依頼するタイミング

事故が起こった後の対応の善し悪しも、ユーザーや社会の受け取り方を大きく変えます。独立行政法人情報処理推進機構(IPA)は、情報漏えい事故が起こった企業や組織に向けて「情報漏えい発生時の対応ポイント集」を公開していますが、過去に個人情報漏えい事案に対処した経験がある練度の高いCSIRTチームが社内に存在でもしない限り、被害実態調査やその後の対策などは、専門セキュリティ企業に相談するのがもっとも安全で一般的な方法です。

セキュリティ業界では、セキュリティ緊急対応サービスに相談が来る曜日や時間に傾向があると言われています。それは、「金曜日の午後」「連休前の午後」です。つまり、事故は週前半または半ばに発生していたが、なんとか自分たちで解決できないかもがき苦しんだ後、最後の最後であきらめて、「休日を挟む前に」セキュリティ企業へ連絡をするからです。自分たちで精一杯手を尽くした努力も空しく諦めざるを得ないとは、身につまされる話です。

しかし、時間が経過すればするほど、調査に必要なエビデンスが失われることもあります。情報漏えい事故が起きたら、信頼できる専門企業にすぐ相談してください。

情報漏えい事故の報告書と収束までの流れ

専門セキュリティ企業の協力の元、デジタルフォレンジックによる原因や被害範囲などの調査が行われ、一定の社会的インパクトがある情報漏えいであれば、報告書を公開します。場合によっては記者会見を行い、調査分析のための第三者委員会が組織される場合もあります。

インシデントの全容を解明した報告書作成には数か月かかるかもしれませんが、その前にまず事件の概要、情報漏えい対象者の範囲や救済措置などについては、なるべく早く情報公開することが大事です。

速報第一報に限らず、情報漏えい事故の調査報告書に必要な項目は下記のとおりです。


・漏えいした情報の内容

・漏えい件数

・原因

・現在の状況

・今後の対策


重要なのは、速報公表まであまり時間をかけないことです。時間がかかるほど、どんなにその調査が合理的で必要なものであっても、SNSなどで「事故を隠そうとしたに違いない」といった、批判の対象となることがあります。

また、第一報につづく第二報では、内容の大きな修正があってはなりません。特に第二報で漏えい件数が大幅に増えていたりすると、「事故を小さく見せかけようとした」「初動対応に失敗した」などの誤ったイメージすら与えかねません。速報では、論理的に最大の漏えい可能性がある件数を、必ず記載してください。詳細な調査を待たずとも、速報で最大値推定を出すのは難しくありません。

企業側は、組織の透明性を確保しながら、とにかく誠意を見せることが重要です。たとえば報告書の「今後の対策」の欄に、どんな対策を実施するかという詳細を公表する必要はありません。しかし、大まかな予定であっても「いつまでに何々という対策を実施する」とマイルストーンを設置して計画を可視化することで、ステークホルダーやユーザーの心証は好転します。

情報漏えいを予防する対策

これまで述べてきたように、情報漏えいには性質の異なる複数の原因があり、原因毎に予防対策は異なります。

まずは従業員によるノートPCやUSBメモリの紛失などを減らすために、セキュリティリテラシーを向上させるアウェアネストレーニングが有効です。IPAが刊行する「情報漏えい対策のしおり」など、無料の教材や動画も多数公開されています。同時に、ノートPCやUSBメモリの管理規定も定めましょう。

また、近年増加しているAWSのようなクラウドサービスの設定不備による事故の対策として、設定ミスや、現在の設定のリスクを網羅的に検知するサービスも提供されるようになっています。

先に挙げた通り、不正アクセスによる情報漏えいは過去約10年で20倍という驚くべき増加を見せています。サイバー攻撃の侵入を許す穴がないかどうかを探す脆弱性診断や、脆弱性を利用してひとたび侵入された場合、何がどこまでできてしまうのかを検証するペネトレーションテストも、不正アクセスに対する極めて有効な対策方法です。

新しい社員の入社や退職など、組織は日々変化し、業務やシステム構成・Webアプリケーションも進化を続けます。昨日までは安全だったWebアプリケーションに、今日新しい脆弱性が見つかることもあります。上記に挙げた対策はいずれも一度実施したら終わりではありません。定期的に継続することで真の効果を発揮します。

そもそも事故が起きないことが一番素晴らしいことですが、せめて「事故は起こったものの打てる手はちゃんと打っていた」と言えるようにしておくべきです。

まとめ

・個人情報保護法では、個人情報の漏えいを起こした組織が講ずるべき措置が定められている。
・情報漏えい事故の深刻度は、漏洩した件数だけでなく、漏えいした情報の内容にも大きく左右される。
・情報漏えいは、悪意に基づく不正アクセスのほか、設定不備や管理上の不注意が原因で発生することもある。
・情報漏えい事故が発生したら、速やかに信頼できる専門セキュリティ企業に依頼するのが有効。
・情報漏えい事故に関する事実の公表は、組織の透明性を確保しながら誠意をもって臨むことが重要。
・情報漏えいの予防には、従業員のセキュリティリテラシー向上教育、クラウド設定不備の検査、脆弱性診断やペネトレーションテスト等の対策がある。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

<コラム>「ゼロトラストアーキテクチャ」とは?

Share



株式会社ブロードバンドセキュリティ
エグゼクティブ・フェロー 安藤 一憲

(※取材当時の役職になります。)

「バズワードになってるけど実態がよくわからない」という現象はこの言葉に限ったことではないが、この言葉もご多分に漏れず中身の理解よりも言葉が先行しているように見える。世間に出ている記事を読むとどうやら認証が鍵なことだけは朧げながらわかる。

ゼロトラストを定義する文書で最短距離にあるのはNIST SP800-207で未だドラフトではあるが、そもそもの意味は「権限管理下にある認証を経ていないユーザには何もアクセス権限を与えない」という意味で「ゼロトラスト」と言っていることがわかる。

では、それを実現するアーキテクチャの「肝」は何かというと、ユーザがアクセスするデータプレーンと、認証とアクセス権限を与えるコントロールプレーンを論理的に分離することにある(ドラフトでは3.4.1の5に書いてある)。そうすることで不正アクセスへの監視を容易にし、例えばマルウェア感染の疑われるPCからのリソースへのアクセス遮断を容易にする、という寸法である。この分離がなされていない場合は「ゼロトラストアーキテクチャ」とは到底言い難い。企業システムの侵害において多くのケースで致命傷になっているのがAD等のディレクトリサーバへの侵害であることを考えればこの分離はとてもリーズナブルである。


従来のネットワーク


ゼロトラスト構成例


社内ネットワークへのVPNゲートウェイはこの構成では必要がなくなる。「ユーザがどの機器を経由してアクセスしているか」ではアクセス権限は与えられないからだ。逆に、ユーザが自宅にいようがモバイル環境にいようが、必要な認証さえ通ればリソースにアクセスできる、という思想である。もちろんユーザのアクセスには経路暗号化の利用が前提となりThreat intellgenceのふるいにかけられた後にアクセスが許可される。

ドラフトにはいくつかの実装モデルが載っているが、代表的な「Policy Enforcement Point(PEP)」を作るモデルでユーザにとって便利そうなのは、SSOを実現し社内リソースへのアクセス権限を適切に与えるreverse-proxyサーバのような実装が考えられよう。

管理リソースがローカルの社内ネットワークに止まらない場合には、例えばクラウド環境の裏側までコントロールプレーンを延伸する必要があろう。そこで必要になるのは例えばIDフェデレーションの仕組みだったりするだろう。ゼロトラストの文脈でIDフェデレーションが出てくるのは、「コントロールプレーンの論理的な分離」が要件だからである。

他にもユーザのデバイス上でアプリケーションが動く場合にはサンドボックス上で動かす等の配慮をするように書かれている。これは仮にユーザのデバイスが侵害されていた場合にも社内リソースへの影響を最小にするアプローチだ。基本的に「アプリケーションはユーザから隠せ」という記述も見られる。他にもざっとドラフトを読むとシステム侵害事例を研究した上で弱いところを潰し、かつ使い勝手を良くしようという意図が明確にわかる。

ゼロトラストアーキテクチャを実現するにはそれなりの道具立てが必要ではあるが、既存のネットワークをゼロトラストアーキテクチャに移行する場合にまず最初に手をつけるとすればもっとも手前にある社内ネットワークでの「コントロールプレーンとデータプレーンの論理的な分離」からであろう。最初から完全なものを作るのは難しいが「百里の道も一歩から」である。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

標的型攻撃とは?
事例や見分け方、対策をわかりやすく解説

Share

標的型攻撃とは、攻撃者が明確な目的を持って、特定の企業や組織・個人などを狙って行うサイバー攻撃です。日本国内では、2011年頃から多く報告されるようになりました。

サイバー攻撃の多くには、これまではっきりした目的がありませんでした。無差別に感染させるウイルスやワーム、不特定多数に向けて大量送信されるスパムメールなど、従来の攻撃は標的を選ばない「ばらまき型」が多くを占めていました。しかし標的型攻撃では、たとえば「製造業A社の保有する、~分野の技術に関わる特許等の知的財産」など、ゴールが明確に設定されています。

標的型攻撃のうち、特に国家機密やグローバル企業の知的財産をターゲットとした、豊富な資金を元に、極めて高い技術水準で、長期間行う標的型攻撃のことをAPT(Advanced Persistent Threat:高度で継続的脅威の意)と呼ぶこともあります。


従来型の攻撃標的型攻撃
目的悪意のない趣味や愉快犯、技術的な理論検証など、趣味や知的好奇心の延長知的財産・国家機密・個人情報など、金銭目的の犯罪、諜報などの目的を持つ
対象不特定多数のインターネットユーザー 特定の企業や組織、政府
技術必ずしも高くない 高度な技術水準
組織多くは個人による活動、複数であっても組織化されていない 組織化された多人数の組織
資金個人による持ち出し 豊富、国の支援を受けている場合も
期間短い、興味や好奇心が満たされれば終了 目的を達成するまで辞めない、数年間のプロジェクトとなることも

メールから侵入する「標的型攻撃メール」とは

標的型攻撃の多くは、業務を装ってメールを送り、添付されたファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」をきっかけに行われます。マルウェアは、OSや特定のアプリケーション、プログラミング言語や開発環境の脆弱性を突いて感染を果たします。

「ハッカー御用達サーチエンジン」などと呼ばれる「SHODAN(ショーダン)」「Censys(センシス)」という検索エンジンがあります。GoogleのようにWebページを検索するのではなく、インターネットに接続されているサーバやコンピュータ、 IoT機器を対象とした検索エンジンで、これらを用いることで、たとえば脆弱性のあるOSにも関わらずパッチがあてられずに放置されているサーバを見つけることができます。

脆弱性が見つかったら、その脆弱性を突くマルウェアをブラックマーケットで購入あるいは開発し、PDFファイルなどに偽装し、メールに添付し標的型攻撃メールが送られます。少々簡素化していますが、こういう手順で標的型攻撃は行われます。

標的型攻撃メールの事例

標的型攻撃メールによってマルウェア感染や被害が発生した事例として独立行政法人情報処理推進機構(IPA)は、2012年に発行した「標的型攻撃メール<危険回避>対策のしおり」に具体的事例のリストを掲載しています。そこには、


・日本政府や中央官公庁

・日本を含む世界の化学・防衛関連企業48社

・日本の重電メーカー


などの組織が「報道された標的型攻撃メールの事件」として並んでいます。

同じくIPAが2015年に発行した「IPA テクニカルウォッチ 標的型攻撃メールの例と見分け方」では、標的型攻撃メールの生々しい偽装例が記載されています。それによれば、


・新聞社や出版社からの取材申込

・就職活動に関する問い合わせ

・製品に関する問い合わせ

・セキュリティに係る注意喚起

・注文書送付

・アカウント情報の入力要求


などに偽装して標的型攻撃メールが実際に送られたということです。

標的型攻撃メールの見分け方

標的型攻撃以前には、いわゆる「怪しいメールの見分け方」という鉄板の基準がありました。代表的な判断基準はたとえば「知らない人からのメール」「フリーメールからのメール」「日本語の言い回しが不自然」などが挙げられます。標的型攻撃以前には確かにこれらの基準は有効でした。しかし、こういった基準が標的型攻撃以降、必ずしも通用しなくなっています。

こうした自体の変化に対応し、IPAは前掲のレポート「IPA テクニカルウォッチ 標的型攻撃メールの例と見分け方」で、不審か否かを見分けるための着眼点として以下を挙げています。


・知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容

・心当たりのないメールだが、興味をそそられる内容

・これまで届いたことがない公的機関からのお知らせ

・組織全体への案内

・心当たりのない決裁や配送通知

・ID やパスワードなどの入力を要求するメール

・フリーメールアドレスから送信されている

・差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

・日本語の言い回しが不自然である

・日本語では使用されない漢字が使われている

・実在する名称を一部に含む URL が記載されている

・表示されている URL と実際のリンク先の URL が異なる

・署名の内容が誤っている


昔ながらの基準と変わらない点もあるものの、「心当たりのないメールだが、興味をそそられる内容」「これまで届いたことがない公的機関からのお知らせ」「組織全体への案内」などは、業務上開封せざるをえないことも少なくないでしょう。「よほど仕事を怠けていない限りひっかかる」これは標的型攻撃メールに関してよく言われる言葉です。

近年の標的型攻撃メールは日本語も洗練されています。上記の基準ですら判別できない場合もあると心得ていたほうが間違いないでしょう。

標的型攻撃メールを防ぐ「メール訓練」、いいサービス選びのポイント

標的型攻撃メールを開封しないように、従業員のセキュリティリテラシーを上げるために「メール訓練」「標的型攻撃メール訓練」などと呼ばれるセキュリティサービスがあります。

模擬の標的型攻撃メールを作成し、事前に知らせずに従業員にメールを送信、本文中のリンクをクリックしたり添付ファイルを開いてしまった人を調べ、部門毎の攻撃メール開封率などを管理者に報告するサービスです。

メール訓練サービスは提供業者が多く、費用やサービスクオリティはさまざまです。ここで簡単に、いい標的型攻撃メール訓練会社の選び方のポイントを列挙します。


・実施前に社内の業務手順や、うっかり添付ファイルを開いたりリンクをクリックしてしまいそうなメールの傾向を、丁寧なヒアリングをもとに考えてくれるかどうか

・開封率の報告だけでなく、添付ファイルを開いた後の初動対応分析や、万一開いた場合の報告体制、エスカレーションの仕組の助言などを行ってくれるかどうか

・標的型攻撃メールの添付ファイルを開いたりリンクをクリックすることで具体的にどのように被害が発生するか、リスク予測をしてくれるかどうか

・訓練で洗い出された課題解決のために従業員向け研修を実施してくれるかどうか


メール訓練サービスは各社それぞれ個性と品質の差があります。一見似ているように見えますが、どのように運用するかによってサービスクオリティが大きく変わってきます。

組織には人事異動もあり業務内容も変わります。メール訓練をやる場合は、エビデンスのために実施する場合はともかく、本当に根付かせたいのであれば定期的な実施が必須といえるでしょう。

メール訓練はとても有効な対策手段です。しかし、うっかり危険なファイルを開いてしまう確率がゼロになることは残念ながらありません。

もしあなたの会社の人事担当者に、就職を希望する優秀な経歴を持つ学生から、レジュメや志望動機を書いたPDFを添付したメールがGmailで届いたような場合、彼・彼女はきっとそのメールを開かざるをえないでしょう。「よほど仕事を怠けていない限りひっかかる」のです。もはや「防ぐ」という視点と同時に、感染することを前提に考える時期が来ています。

標的型攻撃対策の方法と必要性

「感染することを前提に考える」とは、もはや完全に防ぐことはできないと認めることです。これは標的型攻撃がセキュリティ対策や産業に与えた最も大きな影響のひとつといえるでしょう。標的型攻撃やAPT以降に、「この製品を買えば100%防げます」オーバーコミット気味のセキュリティ製品の営業マンが、もしこんなセリフを言ったとしたら、もはや安請け合いどころか明白な嘘です。

標的型攻撃以降、「出口対策」「内部対策」という順番で、新しいセキュリティ対策の言葉が次々と生まれました。

「出口対策」とは、ファイアウォールやアンチウイルスソフトで防ぎ切ることができずに感染してしまったマルウェアが、重要な情報を盗み出し、いよいよ外部に重要情報を送信する(盗み出す)通信を検知し、それをブロックする対策のことです。

「内部対策」とは、標的型攻撃メールで特定のPCに感染したマルウェアが、隣のPCや、参照権限のあるサーバなど、ネットワークを「横移動(ラテラル・ムーブメント)」して、Active Directoryなどのクレデンシャル情報や、知的財産が置かれたサーバにたどりつかないよう横展開を阻害する対策のことです。ネットワークの区画化やSIEMによる分析、ユーザーの行動を分析するUEBA、果てはニセのクレデンシャル情報をネットワークに地雷のように置くデセプション製品など、各社工夫をこらした高価な先端製品が各社によって開発・提供されています。

一方で、従来の「入口対策」をパワーアップした対策として、添付されたファイルがマルウェアではないかどうかをSandboxという環境で安全に検証してからユーザーに届ける製品などが国内でも普及しました。

どれも優れた製品ですが、いずれにせよ完全に防げる神話はもう崩れています。感染前提の対策や組織作りが必要です。しかし、高価なSandboxやSIEMなど先端の製品による対策をすべての組織でできるわけではありません。

しかし悲観する必要はありません。実は、昔から言われている基本対策が標的型攻撃に対しても有効なのです。まずはWindowsOSやMicrosoft Office、Adobeなどの主要アプリケーションを最新の状態に保つことです。標的型攻撃メールに仕込まれたマルウェアの大半はOSやアプリケーションの既知の脆弱性を悪用するものです。OSやアプリケーションのアップデートを地味に行っていれば、攻撃が成功する確率を大幅に下げることができます。

また、Webサイトやアプリケーションなどの公開サーバ、社内ネットワークを対象に、見過ごしているセキュリティホールがないかどうかを見つける脆弱性診断の定期的実施や、いざ侵入できたらどこまで被害が拡大しうるのかを調べるペネトレーションテストの実施も同様に有効でしょう。

「我が社には盗まれるような特許も個人情報もない」これもよく言われる言葉です。しかし、近年「サプライチェーン攻撃」と呼ばれるサイバー攻撃が話題になっています。たとえば、大手グローバル自動車会社のB社を最終目的として、部品製造を行う系列の中小企業などから攻撃を行い、本丸を目指す方法などを指します。もはや関係ないと言える企業は少ないといえるでしょう。

まとめ

・標的型攻撃は、攻撃者が明確な目的を持ち、特定の企業や組織・個人などを狙って行うサイバー攻撃
・標的型攻撃には、業務を装った巧妙なメールの添付ファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」によるものが多い
・従業員のセキュリティリテラシーを上げて標的型メールを開封しないようにするためには、「標的型攻撃メール訓練」などのセキュリティサービスがある
・標的型攻撃を100%防御することは不可能なため、感染することを前提とした「出口対策」「内部対策」を講じることで攻撃成功の確率を下げる


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

Security 玉手箱

Share

「セキュリティを強化したいけど、何をすればいいのかな?」

情報セキュリティという言葉はよく聞くけれど、実際には何をするのかわからない、という方は多いと思います。「興味はあるけど…」「急遽セキュリティ担当になった…」 など、これからセキュリティの道へ進む方にも、すでにセキュリティに携わっている方にも、楽しんでいただける内容となっています。

NEW
SQLインジェクションの脆弱性、企業が問われる2つの責任とは

2021.1.27
「情報セキュリティ10大脅威」3年連続ベスト3入り、
ビジネスメール詐欺を防ぐ手立ては?

2021.1.20
企業が絶対にやってはいけないソーシャルエンジニアリング対策の「ある方法」とは
2021.1.13
あのEmotetもフィッシング?
~ フィッシング詐欺を読みとき、企業がとるべき対策を考える

2020.12.23
Botの脅威!IoT機器を踏み台にする新たなボットネットも登場
2020.12.16
DXとセキュリティ
2020.12.2

ランサムウェア その被害と対応策、もし感染したら企業経営者はどう向き合うべきか

2020.11.18

クラウドとテレワーク時代、企業に二要素認証・多要素認証の利用が求められる理由

2020.11.11

クロスサイトリクエストフォージェリ(CSRF)はサイバー攻撃の「名脇役」? 脆弱性診断におけるCSRFの検出頻度と対策

2020.11.4
ブルートフォース攻撃
~ IDとパスワードだけのセキュリティはもうオワコン?

2020.10.14
PCI DSS―ペネトレーションテスト、そして非保持の落とし穴
2020.10.7
すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策
2020.9.30
もしあなたの会社が不正アクセスされたら
2020.9.16
IoTのリスクと求められるセキュリティ対策
2020.9.9
APIのセキュリティ脅威とは
2020.8.26
Webアプリ脆弱性の代表格
「クロスサイトスクリプティング」の攻撃事例と対策

2020.8.19
TLS暗号設定ガイドラインがアップデート
~TLS 1.0/TLS 1.1は完全に非推奨へ~

2020.7.29
サイバー攻撃の原因となる「脆弱性」を理解する
2020.7.22
サイバー攻撃を行う5つの主体と5つの目的
2020.7.15
「マルウェア」とは何か?
「ウイルス」との違い、種類、感染経路、対策方法を解説

2020.7.8
テレワーク環境下における営業秘密の保護
2020.7.1
テレワーク環境に求められるセキュリティ強化
2020.6.24
前倒しで対処
ー セキュリティを考慮したソフトウェア開発アプローチ
「シフトレフト」とは ー

2020.6.10
情報漏えいとは?
代表的な原因や求められる対応策

2020.6.3
標的型攻撃とは?
事例や見分け方、対策をわかりやすく解説

2020.5.27
ペネトレーションテストとは?
2020.5.20
脆弱性診断の必要性とは?
ツールなど調査手法と進め方

2020.5.13
ソースコード診断の必要性とは?
目的とメリットを紹介

2020.4.30
クラウドセキュリティの必要性とは?
2020.4.22
セキュリティ診断の必要性とは?
2020.4.15
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

ペネトレーションテストとは?

Share

ペネトレーションテストとは、主に企業ネットワークや、Webアプリケーションなどに不正に侵入することができるかどうかをテストすることです。英語の「 penetration 」には「貫通」、「 penetrate 」には「貫く」「見抜く」などの意味があります。「ペンテスト」と略されたり、「侵入テスト」と呼ばれることもあります。

サイバー攻撃者はまず不正侵入し、その後、情報を盗んだり、バックドアを仕掛けたり、あるいは破壊工作などを行います。それらすべての端緒となる不正侵入を許すかどうかを調べるのが、ペネトレーションテストの役割です。

ペネトレーションテストが必要な3つの業種

脆弱性診断の結果見つかった脆弱性を悪用して、攻撃が本当に成功するのかを検証するために、ペネトレーションテストが実施されることがあります。あくまで一般論ですが、ペネトレーションテストが必要な業種や事業として、以下の3つが挙げられます。

1.生命・生活に直接影響を与える事業やサービス
第一に、生命や生活に影響を及ぼす業種が挙げられます。具体的には、水道・電気・ガス・道路・交通等の社会インフラや、病院、ビル管理、工場のシステムなどです。

2.資産に影響を与える個人情報を扱うサービス
個人情報を保有する事業やサービスにも、ペネトレーションテストが必要な場合が多いでしょう。とりわけ銀行や証券会社、クレジットカード、仮想通貨取引所などの金融、大規模なWebサービスやECサイト、住民データを扱う自治体や官公庁などが挙げられます。

3.事業継続に影響を与える機密情報を扱うシステム
重要な営業機密や知的財産を保有する企業もペネトレーションテストの実施が望ましいといえるでしょう。

特に、クローズモデルの知財戦略に基づいて特許を取得しない方針の企業が、サイバー攻撃によって機密情報を盗まれ、他の企業に国内外で特許申請・取得された場合、事業継続に関わる重大な影響が懸念されます。

また、データ自体に価値はあるが、特許法や不正競争防止法では保護対象とならないようなデータについては、セキュリティ対策によって保護を図る必要があります。

ペネトレーションテストと脆弱性診断の違いと使い分け

ペネトレーションテストと脆弱性診断には共通する部分があるため、違いがよく理解されていません。特によく見られる勘違いは、「ペネトレーションテストをやりたい」という要望だったものの、ヒアリングしてみると、実際にはペネトレーションテストでなく脆弱性診断が必要であった、というケースです。

以下に「対象」「目的」「範囲」、必要な「期間」の4つの観点から、ペネトレーションテストと脆弱性診断の違いを示します。

ペネトレーションテスト脆弱性診断
対象脆弱性診断同様、ネットワークやWebアプリケーションを対象にしますが、ときに警備員をあざむいて建物に侵入できるかどうか等の物理的侵入テストが行われることもあります。ネットワークやWebアプリケーションが対象となります。
目的脆弱性診断は脆弱性を発見して報告することが主な業務ですが、ペネトレーションテストは脆弱性をもとに不正アクセスし、ネットワーク等に侵入することが目的となります。 脆弱性を検知・検出すること。
範囲広い範囲の網羅性を重視する脆弱性診断と異なり、ペネトレーションテストは侵入することが目的であるため、脆弱性診断とは反対に、狭く深く、ときに針の穴のような侵入できる一点を探します。 広く網羅的に脆弱性の有無を探します。
期間ペネトレーションテストは、とにかく侵入が成功するまでトライし続ける作業であるため、脆弱性診断よりも長い期間を要する場合が少なくありません。ただし、一般論として、優秀なペネトレーションテストサービスであればあるほど、短い期間で侵入が成功します。 探すものが事前に決まっているためペネトレーションテストよりも通常は短い期間で完了します。

ペネトレーションテストの手順

ペネトレーションテストサービスは提供する企業によってそれぞれ個性がありますが、大きく分けると下記の手順で実施されます。

Step1.ヒアリング

目的に応じ、たとえば「顧客データベース」など、ペネトレーションテストを行う対象を決定します。そして「顧客データベース」が外部から攻撃されるのか、あるいは内部犯行なのか、想定する攻撃シナリオを作成し、最後に、ペネトレーションテストを行う期間を決定します。

Step2.実施

対象によってさまざまな実施方法があります。公開されているWebアプリケーションであればリモートから実施することができます。内部犯行の危険性をテストする場合ならオフィス内から実施することもあるでしょう。

Step3.完了

「侵入に成功したとき」あるいは反対に、「侵入に成功できないまま期間が終了したとき」のいずれかをもってペネトレーションテストは完了します。どちらの結果にも意味があります。侵入に成功した場合は、その報告を受けて防御力を高める必要性を認識することになり、侵入に失敗した場合は、一定の防御力を保持できている目安となります。

Step4.報告

ペネトレーションテスト事業者からの報告書提出や報告会が行われます。具体的にどういうプロセスで、どういう技術を用いて侵入し、重要なデータがどこまで閲覧可能だったのか、どんなことができてしまう危険性があったのか、など管理者の気にかかることが詳細に報告されます。


ペネトレーションテスト 日本と海外の違い

海外では本番環境で稼働するシステムに対して、直接攻撃を行うような荒っぽいペネトレーションテストが行われることもありますが、日本国内ではそういったケースは多くありません。日本では業務やサービスの運用への影響を回避しつつ、安全に配慮しながら設計・実施されるのが主流です。

いいペネトレーションテスト会社の選び方

ペネトレーションテストは経験とセンスが求められる仕事であるため、優良事業者選びはとても重要です。前述したとおり「優秀なペネトレーションテストサービスであればあるほど、短い期間でテストが終了(=侵入に成功)」します。ペネトレーションテストの見積額はエンジニアの拘束時間とも相関しますので、予算にもかかわってきます。大きく以下の3つのポイントを、いいペネトレーションテスト会社選びの参考にしてください。

1.丁寧なヒアリングにもとづいてシナリオを考えてくれるか

システム構成や業務手順、ときには組織構成など、実際のサイバー攻撃を行う際に参照するとされる、さまざまな情報をもとにして、実施するサービスの適用範囲、留意事項、制限などを聞き、顧客の目的や要望、要件に沿ったペネトレーションテストの攻撃シナリオを考えてくれる会社を選びましょう。

2.技術者の経験と勘、クリエイティビティ

ペネトレーションテストはときに針の穴を通すような隙間を見つけ出して侵入を成功させる業務です。技術者のこれまでの経験、保有資格などを確かめ、技術者の層が厚い会社を選びましょう。

3.診断実績

過去のペネトレーションテストの実施社数や件数、リピート社数なども、いいペネトレーションテスト会社選びの参考になります。

ペネトレーションテストのツール

ここまで述べてきたとおりペネトレーションテストとは、丁寧なヒアリングのもとで作成した攻撃シナリオに基づいて、経験豊かな技術者が実施するクリエイティブな手作業です。ペネトレーションテストをすべて自動で行うツールは存在しません。

ただし、ペネトレーションテストを行う技術者が、いわば「工具」「道具箱」のように用いるツールは数多くあります。代表的なものとして、オープンソースプロジェクトである Metasploit が提供する、さまざまなツール群が挙げられます。

セキュリティ企業に依頼せずに、自分でMetasploit が提供するツールを用いて、公開されている脆弱性などを用いて攻撃を実行することは可能です。しかし、その結果を読み解いたり、優先順位をつけたりするノウハウには経験と知見が必要とされます。

また、自宅に置いたサーバに研究目的でツールを走らせるような場合でも、不用意にこうしたツールを使用したり、不適切な方法で攻撃用のエクスプロイトを取得・保管したりすると「不正アクセス行為の禁止等に関する法律」「不正指令電磁的記録に関する罪(刑法刑法168条の2及び168条の3)」等にも触れる犯罪となる危険性もあることを忘れてはいけません。

ペネトレーションテストの料金相場

ペネトレーションテストの料金は、対象とする範囲や、攻撃シナリオによって変動します。あくまで一般的な相場として「脆弱性診断の1.5倍から2倍」程度、金額として数十万円から数千万円の開きがあります。

脆弱性診断との違いを理解し、いい会社を選ぼう

・ペネトレーションテストはネットワークやWebアプリケーションなどに不正に侵入できるか試すこと
・重要インフラや個人情報を扱う事業、クローズモデルの知財戦略を採る企業はペネトレーションテスト要検討
・脆弱性診断と似ているところもあるが、ペネトレーションテストは目的の異なる別サービス
・事前ヒアリングが丁寧で、優秀な技術者が在籍する、診断実績の多い会社を探す


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

ソースコード診断の必要性とは?目的とメリットを紹介

Share

ソースコードとはシステムやWebアプリを動かすコンピュータプログラムのことです。ソースコード診断を行うことで防げるサイバー攻撃や、ソースコード診断ならではの強み、ソースコード診断とDevSecOpsとの関連、上手な利用手順などを解説しています

企業が提供するWebサービスや、社内で活用するさまざまな業務用アプリケーションを検査、評価する方法はいくつも存在しています。この記事では、その中の「ソースコード診断」を取り上げて、その定義、特徴、メリット、目的などを紹介します。

ソースコード診断とは?

ソースコード診断とは、アプリケーションのソースコード(開発者が書いたプログラム)を解析して、セキュリティを含めて品質上の問題となるバグを検出する診断です。無料の診断ツールや、セキュリティベンダーが提供する診断サービスがあります。診断対象はWebアプリケーションを始めとして、スマートフォンやIoT機器上で動くアプリケーションにまで広がっています。

ソースコードを開示するため、ソースコード診断はホワイトボックステストと呼ばれます。これに対して、ソースコードや設計書を見ずに、システムの外部からアクセスして脆弱性や動作を検証する方法をブラックボックステストと呼びます。

ソースコード診断の特徴とメリット

ブラックボックステストでは検出が難しい脆弱性がソースコード診断なら検知できる場合があります。具体的には 「ソースコード診断で検出できる脆弱性」で後述します。

ブラックボックステストは、すでにソフトウェアあるいはシステムが機能していることを前提とした、リリース前あるいはリリース後に実施します。これに対して、ソースコード診断はその前段である開発プロセスから実施できるため、テスト結果を受けてプログラムを修正することが可能です。

開発の手戻りを減らすことでコストや工数削減につながります。詳細は「ソースコード診断の有効性」を参照してください。

ソースコード診断を実施する目的

ソースコード診断の目的は、プログラムに作りこんでしまった脆弱性を網羅的に検出することです。開発時に繰り返し実施し、開発者が修正していく運用が想定されています。

システムのセキュリティを確保する方法

開発(Dev)、運用(Ops)、セキュリティ(Sec)を一体にしてシステムライフサイクルを回すDevSecOpsという考え方が注目を集めています。DevSecOpsではシステムライフサイクルの初期から各段階でセキュリティについて考察、対処していきます。ここでは、開発プロセスのどこで、セキュリティを確保するための施策を実施するか説明します。

セキュアプログラミング

ソースコード診断の前に、そもそもシステムの設計・開発段階で、開発者が脆弱性を作りこまないようにする手法があります。これをセキュアプログラミングと呼びます。セキュアプログラミングで開発し、本当に脆弱性を作りこんでいないかどうかソースコード診断でチェックします。

ソースコード診断

ソースコード診断には、ツールを用いて自動的に処理するツール診断(自動診断)と、セキュリティエンジニアが目視で確認する手動診断があります。

効率的に網羅性を確保できる自動診断ツールの支援は欠かせません。

一方手動診断は、機械的に検出できず、人間による判断が必要な脆弱性を発見します。手動のみで行う場合もありますが、多くはツール診断と組み合わせて網羅性と精度を上げていきます。

脆弱性診断(セキュリティ診断)

システムのセキュリティを確保する方法には、ソースコード診断のほかに脆弱性診断(セキュリティ診断)もあります。脆弱性診断とは、システムの外部からアクセスして既知の脆弱性の有無を検証する方法です。システム構築後のさまざまなフェーズで実施します。

診断対象は、Webアプリケーションスマホアプリケーション、サーバ(OS等)ネットワークインフラなどさまざまです。

なお「セキュリティ診断」という名称で、脆弱性診断サービスが提供されている場合もあります。

ソースコード診断の有効性

ソースコード診断は開発フェーズ初期から実施可能です。リリース直前やリリース後に脆弱性が発見される可能性を抑えることで、より効率的で信頼性の高いシステム開発が可能になります。

CPE-Coreとはソースコード内の脆弱性と品質面の問題を検査する当社の自動自動静的解析ツールです。

ソースコード診断で検出できる脆弱性

一般的な脆弱性診断では検出しにくい脆弱性も、ソースコード診断では発見できる場合があります。たとえば未使用のコード、ログの改ざん、ログファイルやエラーメッセージへの機密情報の出力などは、ソースコードを直接確認することで検知可能になります。

以下、代表的な脆弱性(セキュリティバグ)について説明します。これらのバグを突く攻撃の名称としても用いられています。

バッファオバーフロー

プログラムを実行する際に確保するメモリ上のバッファ領域に対して、このサイズを超過するデータを書き込めるようになっているバグです。攻撃者は超過する部分に不正なプログラムを書いて実行します。

フォーマットストリング

プログラム中の、書式設定用の関数(フォーマットストリング)の引数の処理に関するセキュリティバグです。正しくは、引数として不正な値が入力された場合には、処理を止めてエラーメッセージを返さなければなりません。

SQLインジェクション/コマンドインジェクション

SQL(データベースを定義、操作する言語)文や、その他のコマンドが入力された場合でも、エラーにせずに処理してしまうバグです。攻撃者の観点からは、コマンドを注入(インジェクション)する形になるため、この名が付いています。攻撃の入り口はアプリケーション上の通常の入力欄で、ここに不正な値を入力することで攻撃を開始します。

クロスサイト・スクリプティング

悪意のあるスクリプト(プログラム)をユーザのコンピュータに注入して、複数のWebサイトをまたいで(クロスサイト)行う攻撃や、その攻撃で利用される脆弱性を指します。

まとめ

・ソースコード診断はソースコード(開発者が書いたプログラム)を解析し、セキュリティ上の問題点を発見する
・開発フェーズの初期から実施することで、リリース直前に脆弱性が発見されるようなスケジュールに影響するトラブルを防止する
・ソースコード診断のためのツールを効果的に活用しながら、熟練の技術者が手動でソースコード診断を行う


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share