クラウドセキュリティとは
-セキュリティ対策の責任範囲と施策-

Share
クラウド(雲)とネットワークのイメージ

クラウドセキュリティ、当事者はだれか?

セキュリティ対策をクラウド事業者任せにしてはいませんか?クラウドサービス利用でも、セキュリティ対策はオンプレミス同様、重要な課題です。本記事では、クラウドセキュリティの責任範囲と対策実施の施策について解説いたします。

クラウドサービスの利用状況

総務省が公開する「令和4年通信利用動向調査の結果」(令和5年5月29日公表)によれば、クラウドサービスを全社および一部でも利用している企業の割合は2022年時点で72.2%にのぼるとされています。このことから、現代では組織のクラウド活用は一般的なものとなっており、様々な業種・業態での利用が広がっていることが読み取れます。こうして普及しているクラウドですが、セキュリティには適切な注意が払われているでしょうか。クラウドサービス利用でも、セキュリティ対策はオンプレミス環境と同様かそれ以上に、重要な課題です。

クラウドセキュリティとその責任範囲

クラウドセキュリティとは、クラウド環境におけるデータやシステムを保護するためのセキュリティ対策のことを指します。クラウドサービスを提供する事業者は、セキュリティに配慮した安全な環境を提供することに注力していますが、責任共有という考えにもとづいて、クラウドで実行されるアプリケーションやデータを保護する責任は、クラウドの利用者にあるとされているのが一般的です。つまり、クラウドセキュリティにおいては、クラウドサービス事業者とクラウドサービスユーザ、双方に責任があるということになります。そしてクラウドサービス事業者の責任範囲とユーザの責任の範囲はクラウドサービスの提供形態によって変化します。詳細は以下の表のとおりです。

クラウドサービスを利用して業務を行う場合は、自組織が責任を負う設定や管理の範囲がどこまでかをよく確認し、適切にクラウドサービス事業者が提供するセキュリティサービスを設定して、利用者自身が必要なセキュリティ対策を講じる必要があります。

クラウド環境のセキュリティリスク

クラウドを利用することは、「コストの削減」「納期・システム開発期間短縮」「拡張性・柔軟性」「オンデマンドセルフサービス」「利便性や機能向上」「事業継続性」といった、多数の魅力的なメリットが存在しますが、一方で、注意するべきリスクも存在します。

リスクとして挙げられるのが、悪意ある第三者に侵入され、機密データやシステムにアクセスされる「不正アクセス」、サービス終了後に物理的アプローチによる完全なデータ消去が難しいことに起因する「情報漏洩リスク」、クラウドサービスの機能変更によって設定が変更されるなどして、低いセキュリティレベルで運用されてしまい、その結果インシデントが発生してしまう「設定ミスによるインシデント」、インシデントが発生した際に、クラウド事業者から十分な対応が受けられない「インシデント対応の不十分性」といったリスクです。こうしたリスクはクラウド固有のものではなく、オンプレミスと同様に、セキュリティに関連するリスクであり、サービスユーザが適切なセキュリティ対策を施したり、サービス提供事業者と連携したりすることで、リスク緩和を図ることが可能です。

国内のクラウドセキュリティ設定ミスによるセキュリティインシデント事例

近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。このように、クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービス利用を利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。前述しましたとおり、クラウドセキュリティでは、クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービスユーザ側で、セキュリティ実施者としての当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。

日本国内のクラウドセキュリティインシデントの報告事例(2020年12月~2023年5月)

時期事業者概要
2020年12月ECサイト運営会社セキュリティ設定不備により、不正アクセスが発生し、148万件を超える個人情報が流出した可能性あり*1
2021年1月ホビーメーカーセキュリティ設定不備により、不正アクセスが発生し、約150名の顧客情報が流出した可能性あり*2
2021年2月ソフトウェアベンダ権限設定不備により、個人情報を含む2,800件超えの情報が第三者によってアクセス可能に*3
2021年8月医療機関グループの公開設定不備により、業務メールや非公開情報が外部から閲覧可能に*4
2021年11月教育サービス会社自治体より委託された事業の申込フォームの設定不備により、他の申込者の個人情報が閲覧可能に*5
2022年5月ITサービスベンダアクセス設定不備により、採用に関する個人情報が6年間にわたり外部から閲覧可能に*6
2023年5月自動車
ITサービスベンダ
セキュリティ設定不備により、車台番号、車両の位置情報が外部から閲覧可能に*7

クラウドセキュリティの対策例

では、セキュリティ対策として、どのような対策を実施すればよいのでしょうか。まず、クラウドのセキュリティではオンプレミスと同様の「基本的なセキュリティ対策」とクラウドに応じた「クラウド環境のセキュリティ対策」に分かれます。

前者の基本的なセキュリティ対策の具体的内容は、以下の図のとおりです。

前提として押さえておくべきポイントは、「クラウドサービスというものは、組織外部での利用が前提であり、環境によって管理する内容も異なるため、従来のオンプレミス環境でのセキュリティ対策に加え、クラウド環境特有のセキュリティ対策が必要となる」という点です。これを踏まえて、基本的なセキュリティ対策をおろそかにしないことが重要です。

そして、クラウド環境のセキュリティ対策については、以下の図のとおりです。

クラウドのセキュリティ対策の方法としては、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があることも補足しておきます。これは各クラウドベンダから公開されているもので、日本語版も用意されています。また、CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインも存在しています。ただし、これらは網羅性が高く、項目も多いため、必要な項目を探すには労力が必要となる可能性があります。

国内クラウドセキュリティガイドラインの紹介

自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。

■クラウドサービス提供者向け
総務省
クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
■クラウドサービス利用者・提供者向け
IPA
中小企業の情報セキュリティ対策ガイドライン」付録6:中小企業のためのクラウドサービス安全利用の手引き
総務省
クラウドサービス利用・提供における適切な設定のためのガイドライン
経済産業省
クラウドセキュリティガイドライン 活用ガイドブック

クラウドセキュリティの対策実施のまとめ

最後に、繰り返しとなりますが、クラウドサービスを利用する際には、クラウド事業者とクラウドユーザの双方がセキュリティ対策に取り組む必要があります。セキュリティは単なるクラウド事業者の課題ではなく、クラウドユーザ自身の重要な責務であることを認識し、適切な対策を講じることが重要です。

クラウドサービスのセキュリティ対策は、基本的な対策では従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容も異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。

● 関連記事リンク
 「押さえておきたいクラウドセキュリティ考慮事項―クラウドへ舵を切る組織のために―

BBSecでは

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

クラウドセキュリティ設定診断サービス

CISベンチマークテストのほか、主要クラウド環境におけるベストプラクティスにもとづく評価や、クラウド環境上でお客様が用意されているプラットフォームの診断(オプション)も可能です。ワンストップで幅広いサービスをご利用いただけます。

クラウドセキュリティ設定診断のサムネ

<次回ウェビナー開催のお知らせ>

・2023年9月27日(木)14:00~15:00
知っておきたいIPA『情報セキュリティ10大脅威 2023』
~セキュリティ診断による予防的コントロール~

最新情報はこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ChatGPTとセキュリティ
-サイバーセキュリティの観点からみた生成AIの活用と課題-

Share
chatGPTのイメージ画像

2022年11月にOpenAIによって公開された生成AI「ChatGPT」の利用者は、リリース後わずか2か月で1億人を突破しました。2023年になってからもその勢いは止まらず、連日のようにニュースで取り上げられ、人々の注目を集め続けています。ChatGPTを含めた生成AIは、今後のビジネスにおいて重要な役割を果たし、企業の競争力にも関わってくると考えられます。本記事では改めてChatGPTとはいったい何なのか?そしてサイバーセキュリティの観点からみたインパクトとリスクについて解説します。

ChatGPTとは?

ChatGPTとは、端的に言えば「人間が作った質問に自然な文章で回答を返してくれる、OpenAIが開発した人工知能システム」のことです。ChatGPTの主要機能は「人間同士の対話を模範すること」であり、その得意とするところは、「人間が自然と感じる回答の生成」です。

応答してくれる言語については、主要なものに対応しており、日本語で問いかけた場合は日本語で回答が返ってきます。

ChatGPTの返答イメージ

ChatGPTとは?の画像

なぜそのようなことが可能かというと、人間の脳の神経回路の構造を模倣した「ニューラルネットワーク」を利用*8しており、大量のウェブページ、ニュース記事、書籍、社交メディアの投稿など、多様なテキストを学習しているからです。つまり膨大なデータで学習し、人間の脳を模倣した処理によって、人間が使う自然な言葉で、入力した言葉に対して回答を返してくれるのです。

多種多様な生成AI

生成AI(ジェネレーティブAI)とは
生成AIとは、学習したデータをもとに、画像・文章・音楽・デザイン、プログラムコード、構造化データなどを作成することができる人工知能(AI)の総称です。近年は様々な組織から多種多様な生成AIが開発、リリースされており、日進月歩の進歩を遂げています。なお、ChatGPTの「GPT」は「Generative Pre-trained Transformer」を意味しており、Gは生成を意味するGenerativeです。

ChatGPTは2023年6月現在、2つのバージョンが存在しています。2022年の11月に公開された無料で利用できるChatGPT3.5というバージョンと、2023年3月に公開された有償での利用が可能なChatGPT4というバージョンです。ChatGPT4は3.5に比べて事実にもとづく回答の精度が40%向上しているとされている他、いくつかの機能が追加されています。

また、人工知能チャットボットとしてはChatGPTの他にも「Google Bard」、「Microsoft Bing AI」「Baidu ERNIE」その他様々なモデルが登場しています。他にも文章や画像から生成する画像生成AIとして「Midjourney」や「Stable Diffusion」、音声から文字起こしを行うChatGPTと同じOpenAIの「Whisper」といったものもあります。 最近では、MicrosoftがWindows11へ「Windows Copilot for Windows 11」というChatGPTを利用した対話型のアシスタンスの導入を発表しています。

こうした生成AIにはカスタマーサービスでの利用、ソフトウェアの作成やメール文章の作成から、ちょっとした日常生活の疑問の解決、様々なビジネス上のシナリオ作成からテストまで、幅広い活用の幅があります。

種類提供元サービス名URL
文章生成AIOpenAIChatGPT https://openai.com/blog/chatgpt
文章生成AIGoogleBardhttps://bard.google.com/
文章生成AIMicrosoftBing AIhttps://www.microsoft.com/ja-jp/bing?form=MA13FJ
文章生成AIBaiduERNIEhttps://yiyan.baidu.com/welcome
画像生成AIMidjourneyMidjourneyhttps://www.midjourney.com/home/?callbackUrl=%2Fapp%2F
画像生成AIStability AIStable Diffusionhttps://ja.stability.ai/stable-diffusion
画像生成AIOpenAIDALL·Ehttps://openai.com/dall-e-2
文章生成AI
(文字起こし)
OpenAIWhisperhttps://openai.com/research/whisper
音声生成AIElevenLabsPrime Voice AIhttps://beta.elevenlabs.io/
無数に存在するAIの画像
無数に存在するAI
出典:Harnessing the Power of LLMs in Practice: A Survey on ChatGPT and Beyondより引用

ChatGPTとサイバー攻撃

このような幅広い活用を期待されているChatGPTですが、一方でサイバー攻撃においても悪用が注目されてしまっているという側面もあります。

ChatGPTのサイバー攻撃での悪用を考えるときに、まず考えられるのはフィッシング攻撃における悪用です。ある調査では「見慣れたブランドであれば安全なメールだと思っている」という人が44%いると報告されています。そのような人が被害にあいやすい、「もっともらしく見える、文面に不自然なところのない一見して信ぴょう性の高い文面」を、攻撃者はChatGPTを利用して簡単に作り出すことができます。加えて、攻撃者が標的の普段利用している言語を解さず、そこに言語の壁が存在したとしても、これもやはりChatGPTを利用することで容易に乗り越えることが可能となります。このような精巧なフィッシングメールを、攻撃者はこれまで以上に少ない労力で大量に生成可能となります。

また、ChatGPTにマルウェアで利用できるような悪意のあるコードを生成させようと検証する動きがあり、ダークウェブ上では前述のフィッシングでの悪用を含めて、活発な調査、研究が進められているという報告もあります。このような言語的、技術的なハードルの低下は、ノウハウのない人間でも攻撃の動機さえあれば、ChatGPTを利用することで簡単にサイバー攻撃が実行できてしまうという脅威につながります。

ChatGPTの活用におけるその他のセキュリティ課題

ChatGPTに対するセキュリティの観点からの懸念点は、他にもあります。

情報漏洩リスク

業務上知りえた機密情報や、個人情報をChatGPTに入力してしまうリスクです。ChatGPTに送信された情報は、OpenAIの開発者に見られてしまったり、学習データとして使われたりして、情報漏洩につながってしまう可能性があります。2023年3月末には、海外の電子機器製造企業において、ソースコードのデバッグや最適化のためにChatGPTにソースコードを送信してしまったり、議事録を作ろうとして会議の録音データを送信してしまったりという、情報漏洩が報道*2されています。

正しくない情報の拡散リスク

ChatGPTは過去に学習した情報を利用して回答しているため、間違った情報や意図的に歪められた汚染情報、セキュアではない情報にもとづいた返答をしてしまう可能性があります。また、蓄積情報についても大部分が2021年までの情報とされており、回答が最新情報とは限らない点にも注意が必要です。例えば最新の脆弱性情報について質問しても、間違っていたり、古い情報で回答をしてしまったりする可能性もあります。

ChatGPTのセキュリティ課題

ChatGPTのセキュリティ課題の画像

ChatGPTのセキュリティでの活用

ここまでセキュリティの観点からChatGPTのリスクに注目してきましたが、ChatGPTは応答学習型のセキュリティ教育や、セキュリティの疑問に答えてくれるセキュリティボットの開発、インシデント発生時のセキュリティアシストや、脅威動向の把握など、セキュアな社会構築への貢献も期待されています。また、OpenAIからもAIを活用したセキュリティに関する「OpenAI cybersecurity grant program」という最大100万ドルの助成金プログラムを開始すると発表がされています。このことからも、AIを用いたサイバーセキュリティの強化や議論促進が今後進展していくものと考えられます。

基本的な対策こそが重要

AIとサイバー攻撃について述べてきましたが、気を付けないといけないのは、ChatGPTがなくても、攻撃者もマルウェアも既に存在しており、脆弱性があればそこを突いて攻撃が行われるのだということです。ChatGPTはあくまでサイバー攻撃の補助として悪用されているだけであり、ChatGPT自体が脅威なのではありません。危険なのはChatGPTではなく、サイバー攻撃を行う者や、脆弱性を放置するなど対策を怠ることです。

今後、ハードルが下がったことで、技術力の低い攻撃者が参入しやすくなり、攻撃の数は増えるかもしれませんが、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。個人情報の漏洩や正しくない情報の拡散といったリスクについても、セキュリティポリシーの遵守や、きちんと情報の裏付けを取る(ファクトチェック)といった基本的な行動規範がリスクを緩和してくれます。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。いたずらに怖がるのではなく、基本的なセキュリティ対策を踏まえたうえで、上手にAIと付き合っていくことが必要ではないでしょうか。

基本的な対策こそが重要の画像
脆弱性診断バナー画像

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

定期的な脆弱性診断でシステムを守ろう!
-放置された脆弱性のリスクと対処方法-

Share
瓦版vol.19アイキャッチ画像(聴診器のイメージ)

脆弱性、放置されてませんか? 近年、放置されたままの脆弱性が悪用されるサイバー攻撃が増加しています。システムの脆弱性を対策しないままでいると、不正アクセスやマルウェア感染などの様々なリスクがあります。本記事では、脆弱性のリスクや実際に悪用された事例を紹介しつつ、脆弱性対策の重要性について解説いたします。

脆弱性の放置が命取りに~「Nデイ脆弱性」が狙われる

脆弱性が発見されると、対応として対象製品のベンダーより修正プログラムがリリースされます。ユーザはその修正プログラムを適用することで、当該脆弱性に対応することができます。

しかし、実際には様々な理由で修正プログラムが適用されず、脆弱性が放置されてしまうことがあります。修正プログラムのリリース後から、実際に適用されるまでの期間に存在する脆弱性は「Nデイ脆弱性」と呼ばれ、それを悪用するサイバー攻撃が増加しています。

図:2020年の脆弱性を利用した攻撃の割合(月ごとの開示年別)
出典:Check Point Software Technologies Ltd.「CYBER SECURITY REPORT 2021」

上のグラフは、Check Pointが公開したレポートに記載されたもので、2020年のそれぞれの月に、いつ発見された脆弱性がどのくらい使われていたか、その割合を示すグラフで、横軸は2020年のいつのデータであるのかを、縦軸は使用された脆弱性の発見された年を示しています。グラフからは、前の年である2019年以前に登録された脆弱性が、年間を通じて攻撃者に悪用され続けたことや、観測された攻撃の約80%が、2017年以前に報告・登録された脆弱性を悪用したものであったとのことがわかります。また、上記レポートでは複数の脆弱性を組み合わせて攻撃する手法「エクスプロイトチェーン」に、新しい脆弱性が組み込まれているとも指摘しています。

Nデイ脆弱性を狙う攻撃では、修正プログラムが適用されるより前に攻撃が仕掛けられるため、ソフトウェア管理が不適切な企業が標的として狙われやすくなっています。さらには近年では脆弱性対策情報が公開された後に攻撃コード(PoC)が流通し、攻撃が本格化されるまでの時間が短くなっています*3

こういった背景から脆弱性を放置したままにすることは深刻な被害につながる可能性があります。

放置した脆弱性の持つ様々なリスク(不正アクセス・マルウェア感染・ホームページの改ざん・サーバの
ボットネット化)についてのイメージ図

既存の脆弱性を狙った事例

以下は2022年に既知の脆弱性が狙われた事例についてまとめたものです。

年月製品事例
2022/1SonicWall SMA100シリーズ*2
(VPN製品)
2021年12月に公開された既知の脆弱性が概念実証コード(PoC)を含む詳細な情報が公開されたことにより、攻撃が活発化。
2022/2eコマースプラットフォームMagento 1*3
(ECプラットフォーム)
Magento 1に存在するQuickViewプラグインの既知の脆弱性を悪用した大規模な攻撃を検知。いまだ数千ものeコマースが、2020年6月30日にサポートが終了しているMagento 1で稼働している背景を利用したと考えられる。
2022/3リモートキーレスシステム*4
(自動車)
既に「CVE-2019-20626」「CVE-2021-46145」で指摘されているが、一部の古い車種(日本車)において引き続きこのリモートキーレスシステムが利用されていたことに起因する。
2022/4Apache Struts 2*5
(Webサーバ)
2020年12月に公開された脆弱性「CVE-2020-17530」の修正が不十分であったことに起因する。
2022/5VMware製品*6
(仮想化ツール)
2022年4月に複数の脆弱性の対策版がリリースされているが、リリースから48時間とたたず、「CVE-2022-22954」「CVE-2022-22960」の悪用が確認される。
2022/9Python*7
(プログラム言語)
2007年に存在が判明していたものの修正されずにいた脆弱性「CVE-2007-4559」が、15年越しに世界中で悪用されていることが報告される。
2022/12FortiOS*8
(VPN製品)
SSL-VPN製品における深刻な脆弱性は過去にも攻撃で悪用されている。リモートワークの拡大により今後も広まることが懸念される。

ベンダーや企業が公開している脆弱性をもつソフトウェアなどの情報や修正プログラムを解析することで、脆弱性を悪用するヒントを容易に得ることができます。さらに、当該脆弱性を攻撃するためのツールがダークウェブなどで売買されるケースもあります。こうしたことから、修正プログラムが公開される前に行われるゼロデイ攻撃(※)と比べると、攻撃者自ら脆弱性を調査する必要がないため、攻撃の難易度が低いといえます。

ゼロデイ攻撃について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
IPA情報セキュリティ10大脅威にみるセキュリティリスク ―内在する脆弱性を悪用したゼロデイ攻撃とは―

Webサイトは最大の攻撃ベクター

エシカルハッカー(※)へのアンケート調査によるとエシカルハッカーの95%はWebサイトが最大の攻撃ベクターだと考えているとの回答でしたと報告されています。

エシカルハッカー・・・倫理観を持ち、高度なハッキング技術や高い知識を善良な目的のために活用するハッカーのこと。ホワイトハッカーとも呼ばれている。

また、弊社で提供しているSQAT脆弱性診断サービスにて、2019年上半期~2022年上半期に診断を実施した延べ3,762社28,179システムのうち、脆弱性が検出されたシステムはWebシステムにおいて毎年8割以上、ネットワークシステム(プラットフォーム)において5割を占めています。

BBSecシステム脆弱性診断 脆弱性検出率(Web/NW)
図:診断結果にみる情報セキュリティの現状~2022年上半期 診断結果分析~
 (SQAT® Security Report 2022-2023年 秋冬号)

脆弱性が存在するOS・アプリケーションを使用しているといったバージョン管理に関する脆弱性が高い割合で検出されているほか、クロスサイトスクリプディングやSQLインジェクションのようなインジェクション攻撃を受ける恐れのあるリスクレベルの高い脆弱性も多くみられます。

Webサイトは狙われやすい傾向にあるだけではなく、実際に様々な危険に晒されています。攻撃手法の進化や、経年によって攻撃のための製品解析が進んでしまうといった事情により、日々新たな脆弱性が検出され続けています。そういった脆弱性に対しての備えとして、適時・適切な対応を継続して行う必要があります。

定期的な診断実施を可能にする脆弱性診断ツールの活用

JPCERT/CCが発表している「Webサイトへのサイバー攻撃に備えて」によると、Webアプリケーションのセキュリティ診断に関しては、機能追加などの変更が行われたときはもちろんのこと、それ以外でも「1年に1回程度」実施することが推奨されています。

しかし、自組織内でセキュリティ対策を行うには、設備投資や人材育成に工数やコストがかかるといった不安を抱える企業も少なくありません。そこで定期的な診断の実施を後押しするものとして脆弱性診断ツールの活用をオススメします。脆弱性診断ツール活用のメリットには以下のようなものがあります。

1. 商用またはセキュリティベンダーの自社開発した診断ツールを活用するため、
  ソフトウェアインストールなどの新規設備投資が不要
2. 開発段階から診断をすることにより、後工程における手戻り発生を防ぎ、
  セキュリティコストの削減が可能
3. 手動診断と比較すると安価なため、定期的に簡易診断が可能
4. 診断結果を定点観測することで、即時に適切な対応をすることが可能

ただし、脆弱性の詳細やリスク判定に関してはセキュリティ専門家の知見が必要不可欠です。自組織に専門家がいるか、セキュリティ専門企業のサポートを受けられるか、といった点はツール選定の際に注意が必要です。

継続的なセキュリティ対策を実現するために

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステム特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

BBSecでは

当社では様々なご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

<SQAT診断サービスの特長>

SQAT診断サービスの特長

<デイリー自動脆弱性診断 -Cracker Probing-Eyes®->

CPEサービスリンクバナー

sqat.jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
リクルートのサムネ
セキュリティトピックス告知のサムネ

拡大するランサムウェア攻撃!
―ビジネスの停止を防ぐために備えを―

Share
瓦版アイキャッチ画像(PCを感染させる攻撃者のイメージ)

国内の医療機関をターゲットにしたランサムウェア攻撃がいま、拡大しています。最近報告された医療機関の事例では、ランサムウェアに感染させる手段としてサプライチェーン攻撃を行ったという例もありました。ますます巧妙になっていくランサムウェア攻撃を完全に防ぐということはできません。しかし、いざ被害にあってしまうとビジネスの停止など大規模な損害がもたらされる恐れもあります。本記事では、拡大するランサムウェア攻撃に対してリスクを整理したうえで、どのような対策をとればよいのか、その手段についてBBSecの視点から解説いたします。

拡大するランサムウェア、国内の医療機関がターゲットに

近年、国内の医療機関を狙ったランサムウェアによるサイバー攻撃が相次いで報告されています。令和4年上期に都道府県警察から警視庁に報告があった被害報告のうち、「医療、福祉」は全体の一割近くとなっており、今後拡大していくことが懸念されています。

【ランサムウェア被害企業・団体等の業種別報告件数】

【ランサムウェア被害企業・団体等の業種別報告件数】
注:図中の割合は小数第1位以下を四捨五入しているため、統計が必ずしも100にならない
出典:警察庁(令和4年9月15日)「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

直近で起こった国内の医療機関を狙ったランサムウェアによる具体的な被害事例は以下の通りです。

【医療機関を狙ったランサムウェアによる被害事例】
年月地域被害概要
2021/5大阪府医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*9
2021/10徳島県電子カルテを含む病院内のデータが使用(閲覧)不能となった*2
2022/1愛知県電子カルテが使用(閲覧)できなくなり、バックアップデータも使用不能な状態となった*3
2022/4大阪府院内の電子カルテが一時的に使用(閲覧)不能となった*4
2022/5岐阜県電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*5
2022/6徳島県電子カルテおよび院内LANシステムが使用不能となった*6
2022/10静岡県電子カルテシステムが使用不能となった*7
2022/10大阪府電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用(閲覧)不能となった*8

このように病院の電子カルテなどを扱う医療情報システムが狙われてしまった場合、業務の根幹を揺るがす大きな問題となり、最悪の場合は、長期間にわたるシステムの停止を余儀なくされてしまう可能性があります。そのため、医療機関にとって、サイバー攻撃のターゲットとなってしまうことは非常に大きなリスクと考えられます。

医療業界が狙われる理由は、医療情報はブラックマーケットにおいて高額で売買されているため、攻撃者にとって「カネになるビジネス」になるからです。「事業の停止が直接生命に関わる」という点でも、身代金要求に応じさせるうえでの強力な要因になります。

医療業界が狙われる理由について、SQAT.jpでは以下の記事でもご紹介しています。
こちらもあわせてご覧ください。
狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

業種問わず狙われる―サプライチェーン攻撃によるランサムウェアの被害

前述した2022年10月の大阪府の病院を狙った事例では、その後、11月に同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道がありました。これはランサムウェアを感染させるためにサプライチェーン攻撃を行ったということになります。

こうしたサプライチェーンの脆弱性を利用したランサムウェアの被害は、医療業界だけの話ではありません。特定の業種に限らず、標的となる企業を攻撃するために、国内外の関連会社や取引先などのセキュリティ上の弱点を突く攻撃は珍しくないように見受けられます。

【サプライチェーンを狙ったランサム攻撃による被害事例】
年月被害概要
2021/4光学機器・ガラスメーカーの米国子会社がランサムウェアの被害により、顧客情報など300GBのデータを窃取されたことを攻撃グループのリークサイトに掲載される*9
2022/4情報通信機器等の製造を行う企業と同社の子会社がランサムウェアの被害を受け、従業員の個人情報のデータを暗号化され、復号不可能になった*10
2022/3自動車部品メーカーの米州のグループ会社がランサムウェアによる不正アクセスを受け、北米及び南米地域の生産や販売などの事業活動に一時支障が起きた*11
2022/3国内大手自動車メーカーの部品仕入先企業が狙われ、自動車メーカーの業務停止につながった*12

業務委託元企業がしっかりとセキュリティ意識をもって対策を行っていても、関連する業務委託先のさらに再委託先などのセキュリティの対策に必要なリソースの確保が難しい企業の脆弱性が狙われるため、一か所でもほころびがあるとサプライチェーンに含まれる全企業・組織に危険が及ぶ恐れがあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアによる影響範囲と具体例は以下の通りです。

国内でランサムウェア被害にあった企業・団体等について、警視庁のアンケート調査によると、2割以上が復旧までに1ヶ月以上かかり、5割以上が調査・復旧費用に1000万円以上の費用を要したという調査結果を報告しました。

【復旧に要した期間と調査・復旧費用の総額】

【復旧に要した期間と調査・復旧費用の総額】
注:図中の割合は小数第1位以下を四捨五入しているため、統計が必ずしも100にならない
出典:警察庁(令和4年9月15日)「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

米国での調査においてもランサムウェア攻撃によるデータ侵害の平均コストは454万米ドルでこれはデータ侵害全体での平均総コストを上回っていることに加えて、原因の特定に237日、封じ込めるまでに89日と合計ライフサイクルは326日となっており、全体の平均より大幅に長くかかっていると報告しました。

【ランサムウェア攻撃のデータ侵害の平均コストと特定し封じ込めるまでの平均時間】

(単位:100万米ドル)
出典:IBM「データ侵害のコストに関する調査

ランサムウェアによる感染を防ぐため対策の見直しを

企業・団体等においてランサムウェアの感染経路には様々なケースがあります。そのため、以下の対策を多重的に行い、被害を最小限に抑えていく必要があります。

1. データやファイル、システムの定期的なバックアップの実施
2. 企業・組織のネットワークへの侵入対策
  ファイアウォールやメールフィルタ設定により不審な通信をブロック
  不要なサービスの無効化、使用しているサービスのアクセス制限
3. 攻撃・侵入されることを前提とした多層防御
4. OSやアプリケーション・ソフトウエア、セキュリティソフトの定義ファイルを常に最新の状態にアップデートする
5. 強固なパスワードのみを許容するなど適切なパスワードの設定と管理を行う

3.攻撃・侵入されることを前提とした多層防御について、SQAT.jpでは以下の記事でもご紹介しています。こちらもあわせてご覧ください。
APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―

また、各業界向けに発行されているセキュリティ対策ガイドラインなどを参考にし、自組織の対策の見直しをすることも重要です。

【参考情報:各業界のセキュリティ関連ガイドライン等】


■(重要インフラ14分野向け)
NISC「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
■(医療業界向け)
厚生労働省「医療情報システムの安全管理に関するガイドライン
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
■(金融業向け)
FISC「金融機関等コンピュータシステムの安全対策基準・解説書等
■(交通関連企業向け)
国土交通省「国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン等
■(教育業界向け)
文部科学省「教育情報セキュリティポリシーに関するガイドライン等

他人事ではない、ランサムウェア攻撃のリスク

冒頭で述べたランサムウェア攻撃をはじめ、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。

※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、 「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、 「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定している。

ランサムウェア攻撃への備えとして、前述のような様々な対策を講じるにあたって、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

BBSecでは

当社では以下のようなご支援が可能です。

<企業・組織のネットワークへの侵入対策>

<攻撃・侵入されることを前提とした多層防御>

※外部サイトにリンクします。

<セキュリティ教育>

標的型攻撃メール訓練

※外部サイトにリンクします。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
リクルートのサムネ
セキュリティトピックス告知のサムネ

<インタビュー>門林 雄基 氏 / 奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授【前編】

Share

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、前編をお届けします。

(聞き手:BBSec SQAT.jp編集部)


はじめに…

SQAT® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

━━早速ですが、弊社で半期に1回、セキュリティに関する情報をまとめてお届けしているSQAT® Security Reportの最新号(※10/26公開予定)では門林先生にご執筆を依頼していたかと存じます。まずはこちらについてご質問をさせていただければと思っております。

━━「セキュリティの現在過去未来」 ということで、専門家の知見からセキュリティの歴史を振り返っていただいています。私も先日拝読させていただいたのですが、セキュリティに対してあまり馴染みのない方でもセキュリティ意識を見直すきっかけになる大変素晴らしい記事になっているなと感じました。今回の記事について、執筆後のご感想や伝えておきたいポイントや読者へのメッセージがあればお願いいたします。

門林先生インタビュー写真1

門林:そうですね、セキュリティの記事をご依頼いただいて、振り返ってみるともう早いもので30年なんですよね。私が今53歳になりますので、それぐらいやはり時間がたってしまったということですね。このセキュリティという領域も最初は一部のマニアックな人、いわゆるハッカーのような人が騒いでいるだけという状況から始まり、今や社会問題になってもう10年、15年たちますが、一向に解決されないという状況です。この時間の流れを写し取れたらと思い今回の記事を書きました。

最近セキュリティ業界に入った方や若い世代の中には「セキュリティへの対策を考えることは重要な問題でさぞかし昔からちゃんとやっていたんだろう」と思われる方もいるかもしれませんし、あるいはまだまだ新しい領域なので「誰も何もやっていないから俺がいたら何とかなる」と思っている方もいらっしゃるかもしれませんが、実は最初は「何かしないと大変だ」と考えていた人は本当に一握りでした。

当時はインターネットバブルで、誰もがインターネットに繋ぐだけでもうかると思ってました。当然、その傍らでリスクが生まれるわけですが、昔はインターネットを作っていた人は「いや、セキュリティね、あはは、そんな問題あるよね。それ、きりないじゃん」と笑ってたわけです。しかし、実はもう30年ぐらい前から問題としては予見されていました。

例えば30年以上前の雑誌記事で、”インターネットがもし商業化されたら世界中は迷惑メールであふれかえる”という予測を立てた記事があり、当時学生だった私は アメリカのとある有名な方にその記事について質問攻めにしました。ところが、最終的な答えとしては「I don’t know(知らないよそんなこと)」 と。つまりその誰一人として問題に対して根本的な解決策を提案しないまま今に至っているわけです。

100年以上前、自動車が街を走り始めたときには、「こんなものは殺人兵器だ」といった新聞の批判的な報道もあったと聞いています。ところが当時から批判をされていたにも関わらず、ここ50年自動車はずっと人を轢き続けていたわけです。最近でこそ衝突安全装置という技術開発がされてますが、そこまで50年~70年かかっています。インターネットでも同様です。1995年あたりに商業化され、爆発的に広まり25年以上たちますが、セキュリティの問題として迷惑メール・情報漏洩・DDos攻撃など様々なものが予見されていたと思うのですが、結局そのままになってしまっているという状況です。

ですので最近セキュリティ業界に入った方や若い世代の方にもそういった流れで物事を見てほしいというのと、もしその自分の代で解決できなくても頑張るくらいの気合を持ってほしいなと思っています。私自身セキュリティの問題は5年10年すれば解決できると思っていましたが、結局そこから20年以上たって今に至るという感じです。ある意味では若い世代の方にとってはチャンスかもしれません。自動車も技術開発されるまで70年かかってるので、セキュリティも同じくらいのタイムスパンで世代を超えて頑張らないといけないかなと思います。

━━ありがとうございます。インターネットが発展するとともにサイバー犯罪も増加するという形でいたちごっこの様態を呈していますよね。しかし、自動車業界の衝突安全装置の前例から学び、世代を超えて意識を高く持ち続けることでいずれはセキュリティの問題も解決へ向かうように、私たちセキュリティベンダーも啓蒙し続けていかなければならないと感じました。

2022年のセキュリティニュースを振り返って…

━━では続いて2022年のセキュリティニュースを振り返っていきたいと思います。今年話題になったセキュリティに関するニュースとして、例えばApache Log4jの脆弱性や SolarWinds社製品の脆弱性など、脆弱性を悪用した攻撃が次々に登場しました。サイバー攻撃グループがいま狙っている業界としてはどういったところがあるのでしょうか?最近は業界の区別なく狙われているという話もあるかと思いますがいかがでしょうか?

門林:まず申し上げておきたいのはメディアで騒がれるものと、実際に犯罪やサイバー攻撃に悪用されるものは違うということです。メディアでは基本的に新しい脆弱性などの話題を取り上げますが、その前にも既知の脆弱性は3万件以上蓄積があるわけです。Log4jに関しては、確かにJavaのソフトで広く使われているため色々なシステムで対応に追われましたが、直ちに攻撃に使われるという話ではありませんでした。ですのでメディアで報道される=直ちに攻撃されるから対策しなければという話ではなく、むしろ忘れたころにやってくる、というところです。

また、SolarWindsやSpring4Shellも一時期メディアで騒がれましたが、実はSolarWindsは日本では全然使っていません。ですので影響範囲も全くなかったと私は思います。Spring4Shellに関しては、実際解析してみると特定のJavaのバージョンのみに影響があるだけで、実はそこまでSpring4Shellの脆弱性は影響がありませんでした。つまり、現場での感覚とメディアでの感覚がだいぶずれてきているなというのが特に今年の脆弱性関連での報道を見て感じるところです。

━━ありがとうございます。 最近では企業規模の大小問わず狙われていて、中小企業もターゲットになっているという話もあるかと思うのですが、こちらについてはどのような理由が考えられますでしょうか?

門林:大企業の場合はそれなりに対策をしているのでなかなか侵入しづらくなっているのではないかと思います。攻撃者側も攻撃しやすいターゲットを狙うと思いますが、中小企業の場合はセキュリティの重要性もよく分かっていないところが多く、狙いやすいのかなと思います。実際、様々な企業で泣き寝入りしてしまったという事案も聞きますが、中小企業の場合は知名度もあまりないため、被害にあっても報道もされません。無名でももうオペレーションが停止してしまったという状況になればようやく報道されるというわけです。

これも氷山の一角で、メディアが無視しているランサムウェア案件はおそらくいくらでもあると思います。中小企業は実際狙われていると思いますし、よくいうのはやられていても気がつかないのではないかということです。ランサムウェア攻撃のように分かりやすくもう全部暗号化して使えないようにしたらさすがに気付くと思います。ですが中小企業の秘密情報や個人情報・取引先の大企業の情報が狙われるという話は10年とか15年のスパンでずっと起こっていて、中小企業で働いている方々はそれに気づきもしていないのではないかと思います。

最近注目した記事や話題

━━なるほど、ありがとうございました。ではここで少し視点は変わりますが、弊社の勉強会では、先生の方からセキュリティベンダーが提供しているレポートやニュースサイトの記事を色々とご紹介いただいていると思うのですが、先生の方で最近注目している記事やトピックがもしありましたらぜひご紹介いただければと思うのですがいかがでしょうか。

門林先生インタビュー写真2

門林:最近ですとやはりサプライチェーンです。特に「ソフトウェアサプライチェーン」といって、例えば我々が使っているWebサーバをはじめ、ビットコインのウォレット等で使うライブラリあるいはソフトウェアを管理しているシステムを狙ってハッキングしてくるというのがどんどん増えています。昔でいうとソフトウェアの欠陥を狙いハッキングするというやり口が多かったのですが、もう最新のWindowsはたとえ50人くらいで寄ってたかってもハッキングできません。ハッカーもそれは諦めていて、ソフトウェアの本当の気づかないような小さなライブラリにバックドア(侵入経路の穴)を仕掛け、そこからシステムに侵入して、ビットコインの財布を狙うといった感じになってきています。ここがやはりここ1~2年の懸念すべきトレンドかなと思ってみています。

━━そういう問題でいうと国内外問わず狙われるのも時間の問題と考えられますね。

門林: そうですね。昔であれば日本語が分からないから大丈夫だなどといわれていましたが、今は日本語の自動翻訳機能はかなり精度が良いものもあるため狙われてしまいます。そのため、日本は大丈夫という感じであぐらをかかず、海外企業と同じくらい、攻撃に対して備えるということが良いのではないかと思います。

海外と比較して~日本国内のセキュリティ事情

━━先ほどのお話にも少しありましたが、日本は海外と比べるとセキュリティへの意識がまだ低いというような話もよく耳にします。この前提を踏まえまして、日本がこれから狙われるとしたらどんな攻撃が考えられますでしょうか?

門林:最近、地政学的な緊張感の高まりというのがありまして、地政学的な事案というのがどんどん増えています。 例えば皆さんがお使いのGPS(Global Positioning System)機能ですが、海外、特に紛争地域ではGPSを狙った攻撃というのもたくさん起きてきています。 日本も海運国家ですから例えばアメリカで起きているようなGPS等が攻撃されて船が通れず、資源が届かないとなると物流が停止し、産業が成り立たなくなってしまう可能性があります。こうしたサイバーでない事案も起こり得るわけです。

ですのでこの辺りは特に注目しています。また、ヨーロッパの方で起きている戦争では衛星ネットワークがハッキングされ停止していますが、日本では全く報道されていません。ハッカーがモデムをハッキングしたことで、衛星でオペレーションしていた物流のIoTが停止しビジネスも停止してしまったという事案になっているわけです。ですから、GPSであったり衛星であったり、我々からすればパソコンとは関係なさそうな世界であっても、サイバー攻撃でやられる、という視点ももっておくことはすごく大事かなと思います。

━━もはや業界も関係なく狙われてしまうというという危機意識を持つことが私たちにはまだまだ足りていないということですね。セキュリティ業界に携わっていない人に対してセキュリティに対する意識を高めていくように訴求していくという難しさを感じます。

門林:そうですね、おそらく物流をやっている人や船を運行している人からすると何のことだと思いますが、ただ彼らからするとびっくりするような話というのが海外だと起きてますし、それが日本で起きない保証はないわけです。

ランサムウェア市場の活況

━━特に、ランサムウェア攻撃に関してはビジネスとして確立しているということもあり、海外特に欧米企業などでは次々と被害報告が上がっています。今後日本にはランサムウェアギャングはどのようにして入り込んでくると考えられるでしょうか?難しいとも思うのですが。

門林:結局言葉の問題がありますからね。 犯罪者の人たちも資金回収するときには日本語を使わないといけないので、そこは確かにひとつハードルになっているとは思います。

とはいえランサムウェアでやられている日本企業もたくさんあるわけですが、アメリカの場合、上場企業は身代金の支払い要求を受けた場合に報告義務がありますが、日本の場合は上場してても報告義務がありません。この差が非常に大きくて、日本企業でもランサムウェア事案でも泣き寝入りしてごっそりお金を払ってしまうということもしているとは思いますが、法的な報告義務がないために表にならないんです。アメリカの方でランサムウェア被害がたくさん起きているという感じで他人事みたいに見えていても、実は身内で起きているインシデントが全然見えていないだけかもしれません。

海外ではもちろんものすごいペースでランサムウェア被害が起きていますが、とはいえ結局反社会勢力にお金を払うというのは海外であっても日本であってもNGですから、身代金を支払ったらそれで終わりという話ではないですし、やはり次の脅迫が忘れたころに起きます。当然、反社会勢力と取引をしたらその企業はブラックリストに入りますし、日本企業でもランサムウェア身代金を支払うことでアメリカでブラックリストに入ってしまったために輸出ビジネスができなくなってしまったという話が実際にあります。これはビジネスが続行できなくなる、BCP(事業継続計画)リスクです。ランサムウェア被害を受けたときのリスクよりも、企業が存続できなくなるリスクを考えた方がいいかなとは思います。

ランサムウェア攻撃の手口は進化している

━━また、ランサムウェア攻撃に関しては海外の方では新しい手口が次々と登場しているかと思います。例えばマルウェア入りのUSBを送りつけるパターンやランサムウェアDDos攻撃など新たな攻撃手法がいろいろと確立していて、従来の二重の脅迫(暗号化+データの暴露)がいま三重の脅迫と、脅迫の手法も進化してきているという話も耳にしているのですが、この三重の脅迫というのは具体的にどのようなことになるのでしょうか?また日本でもすでにこういった手口は使用されているのでしょうか?

門林:はい。あまり明るくない話なのですが、一般論として申し上げると、ランサムウェアを専門にする業者は星の数ほどいるわけです。つまりランサムウェアの学校があって、毎週100人単位で卒業生を出しているので、独立したランサムウェア事業者がもう何万人といるわけです。たまたま中国語が読めるからじゃあ日本をターゲットにやりましょうという人もいるかもしれません。当然、その他のランサムウェア事業者と競争ですから、そのなかでその二重の脅迫・三重の脅迫みたいな発明がどんどんで出てくるわけです。つまり敵もかなり熾烈な生き残り競争みたいなところでやってますので、いろんな手口が出てきます。警察が逮捕したら終わりという話ではなく、じゃあ警察もその数全部捕まえてくれるんですかという話なわけです。

━━きりがないですね。

門林:そうです。で、そういうきりがないゲームを仕掛けてるんだというところまず認識しないといけません。時々、米連邦捜査局(FBI)がランサムウェアギャングを捕まえましたという報道も出てますが、あれは本当に氷山の一角でしかなくて、彼らは自分たちの味方をすでに増やしていっているので、もうエンドレスな戦いになっているわけです。結局それで生計が成り立ってしまうと、ビジネスと同じく、次はどうしようとやはり考えます。ですからそのうち全員捕まるから大丈夫という感じで変な明るい希望をもって通り過ぎるのを待つ、そういう話じゃないということです。

━━もうこれだけに限らず、これからは様々な手法、ありとあらゆるものが想定されるということですね。

ランサムウェア身代金イメージ画像

門林:そうです。結局ランサムウェアはここ数年の最近の話題だと思っている人が多いと思うんです。私は最初に聞いたのが11年前でした。その頃、まだビットコインがなかった時代に、ロシアと旧ソビエト連邦諸国(CIS)で流行っていて、ロシア・CIS特有で昔あったダイヤルQ2のような、この番号に送ると何百円チャージされますという感じの有料のSMSがあるんです。それをランサムウェア集団が集金目的で使って、「この暗号のロックを解除してほしかったら有料SMSを送れ」というと、500円・900円ぐらいが回収され、それで1か月パソコンが普通に使えるようになるという感じです。つまりCISではそういうスキームがもう10年以上前にあったわけです。そこからずっと進化して産業としても大きくなり今に至るわけです。問題はどんどん悪辣(あくらつ)になってますし、熾烈な戦いを繰り広げていて、結局10年かかってグローバルな暗黒産業を作っているわけです。いまやランサムウェア産業は事業者が学校で毎週100人単位で誕生しているようなかなりの成長産業です。これじゃあ来年なくなりますか?っていわれてもおそらく10年はなくならないと思います。ですのであと10年これが続くと覚悟してくださいという話です。

━━ランサムウェアはいつ収束するといったレベルの問題ではないのですね。

門林:サイバーセキュリティをやってない人は「そのうちなくなるんでしょ」「一過性のものでしょ」という感じですよ。でもそう思っている人にとっては最悪の事態がどんどん進行していって今に至るわけですから、やはりリスク管理の原則ですが、最悪の事態を想定してそれに備えるというところが外せないと思います。

後編へ続く


門林 雄基 氏
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。


「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
「お問い合わせはこちら」ボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

SQATセキュリティ診断サービスの告知画像
BBSecロゴ
リクルートページtop画像
セキュリティトピックス告知画像

<インタビュー>門林 雄基 氏 / 奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授【後編】

Share

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、後編をお届けします。

(聞き手:BBSec SQAT.jp編集部)


サイバー攻撃の多様性

新たな攻撃の予想

━━今年はこれまでもすでに発見されていたが放置されてきた脆弱性が再発見されたり、新たに発見されたりした脆弱性を悪用したサイバー攻撃が話題になりました。それを踏まえ、今後新たな流行として予想される攻撃や今の時点で考えられる攻撃がありましたらどんなものがありますでしょうか?

門林:色々起きてますが、犯罪教唆にならない範囲で考えますと、クラウドとかでしょうか。クラウドはかなり巨大になってきていますので、問題は起きるかなとは思いますね。やはり色んな方がクラウドを使っていますよね。

━━そうですね。最近はテレワークの導入率も6割程度という調査結果も出ているという風に聞きます。

門林: 結局そのクラウドの方がちゃんとやっているから安全というように事業者の方はよくおっしゃるんですが、中小から大企業までみんながクラウドを使っているということは、当然反社もハッカー集団もクラウドを使っているわけです。だから隣のテナントは反社かもしれないという状況で、企業も何万社とあって、クラウド事業者側でもみえてないです。

門林先生インタビュー写真3

見通しが明るくない話ばかりになりますが、クラウドはほんとに色んな問題を抱えて走っています。もちろんその問題を抱えたうえでリスクを潰しながらオペレーションできればいいんですが。これもやはり10年ほどやってきている話で、進展も激しいですし、色々積み重なっています。結局古い問題がなくならないので、我々専門家も日々話題にする脆弱性で、これ10年前にも同じ話あったよねというのがもう頻繁に出てくるわけです。ですのでクラウドに関しても、おそらく5年前とか10年前にあった脆弱性のぶり返しと新しい攻撃キャンペーンが組み合わさるとなんか起こるだろうなと思います。

今できる共通の対策

━━今後もありとあらゆる攻撃が予想されるということがお話伺っていてわかりました。それぞれの攻撃に対しては、対策をとっていく、防御していくことが重要になってくることかと思いますが、今できる共通の対策として、まず何をすべきでしょうか?

門林:基本に忠実にやるということしかないです。新しいトピックだけ追いかける人が多いですが、サイバーセキュリティという領域が生まれてもう30年です。脆弱性データベースの整備も始まって30年くらいたっていると思います。で、そのなかに10年選手、5年選手あるいは15年選手の脆弱性があるわけです。マルウェアもわざわざ古いマルウェアを使うという攻撃もあるんです。古いマルウェアだと最近のアンチウィルスソフトでは検知しないからあえて使うなどという色々な話があって、結局新しいことだけに注目してニュースを追って新しい製品を買ってというようにやっていると、5年前とか10年前の脆弱性に足をすくわれると思うんです。ですのでここはもう基本に忠実にやるしかないわけです。

セキュリティ全般の話ですが、やはり30年分の蓄積があるので、それを検証できるだけのスキルを持っていなければいけないですし、なんなら製品ベンダーさんの方が基本的な話を知らなかったりしますからね。

どんな対策が有効?

━━リスク管理の原則という話も少し出ましたが、企業においては情報資産の棚卸しというところも重要になってくると思います。弊社では脆弱性診断サービスを提供していますが、こういったサイバー攻撃への対策として、脆弱性診断サービスは有効に働くでしょうか?

門林:この業界はぽっと出だと私は危ないと思っています。セキュリティ診断会社が裏で反社と繋がっていて脆弱性診断を結果流していたという話もあり得ない話ではないので、ちゃんとした会社に依頼するということが私は大事だなと思ってます。

BBSecさんはもう22年くらいやっているとのことですが、やっぱりそれくらいやってる会社じゃないとかなり重要なシステムの脆弱性診断とか任せられないんじゃないかなと思いますし、それだけやってらっしゃる会社さんだからこそ、昔の脆弱性や最近の脆弱性、あるいは5年10年前の脆弱性というところも経験があって、ある意味チェック漏れといいますか、抜け漏れみたいなのもないと思うんです。やはり脆弱性診断みたいな、セキュリティの話で”水を漏らさず”みたいなところに尽きると思うんです。水を漏らさずどういう風に検査するかというともう経験値が全てだと思うんです。色々なシステムを検査してきた経験値というのが今にいきていると思いますし、そういうの無しに最近できた会社なんですよといって診断されても、そこの製品、俺だったら簡単に迂回できるなと思ってしまいますね。

終わりに…

これからセキュリティ業界に携わりたい方に向けて

━━ありがとうございました。では最後に、これまでのトピックスを振り返りつつ、これからセキュリティ業界に携わって働いていきたいという方やすでにもう業界で経験がある方でこれからもっとステップアップしていきたいというSQAT.jp読者に対して、門林先生からのメッセージをいただければと思います。

門林:サイバーセキュリティというと、プログラミングとかそういうのに詳しい人だけと思われがちなんですが、そうではないんだということです。もう今は総力戦になってますので、プログラミングやセンサーに詳しい人も歓迎ですし、あるいは人間の心理とか社会学とかのスキルとかそういうのに詳しい人も歓迎ですし。結局人間の脆弱性、ソフトウェア・ハードウェアの脆弱性など色々なものがあるなかで、それらすべてに相対していかなければならないわけです。プログラミングやマルウェア解析がすごいという人だけではなくて、いろんな人に来ていただきたいなと思いますね。

あともう一つ大事なのは、やはり優しさです。パソコンに詳しい、俺はプログラミングがすごいだけではなくて、実際サイバー攻撃にやられてしまった現場に行っても、「大丈夫ですか?」とできる人、例えば、「ランサムウェアの現場大変ですね、何とか復号しましょう」、というように。きれいじゃない現場というのがたくさんあるように、これから人間の失敗の顛末みたいな所も目にすると思います。各社・各業界の事情もありつつ、失敗の形跡もありつつ、そういう所で火消しをする、手続きの話をするというかたちになるので、結局その現場に入る人、セキュリティの業界に入る人はやっぱり弱者の側に立たないといけないんです。

CTFとかそういうものをやってると優秀な人こそ勝つという感じの発想の人もいると思うんですが、私は、そういうゲーム的な「俺はサッカーが上手いからすごいんだ」という人が来てくれるよりは、むしろ消防あるいは看護婦・お医者さんのような弱者・敗者に寄り添うセンス、かつプログラミング・技術もできる、法律もハードウェアもできるといった、そういう人間としてのキャパシティーをもった人に来ていただきたいなと思います。「俺はこのツールが使えるんだすごいだろ」という感じの人はたくさんいる気がするので、そうではない側の人、人としての優しさを備えてかつテクノロジー・法律といった様々なスキルを研鑽していこうと思える人にきてほしいですね。

━━弊社は脆弱性診断診断サービス以外にもインシデント対応やコンサルティングの提供もしているので、そういう意味でも、技術力だけじゃなく、人間性みたいなところも比較的重要になってくるのかなと個人的にも思います。本日はありがとうございました。

ーENDー
前編はこちら


門林 雄基 氏
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。


「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
「お問い合わせはこちら」ボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

SQATセキュリティ診断サービスの告知画像
BBSecロゴ
リクルートページtop画像
セキュリティトピックス告知画像

クラウドセキュリティ対策の方法とは?
クラウドサービスの不安とメリットを解説

Share
クラウドセキュリティ対策の方法とは?クラウドサービスの不安とメリットを解説のサムネ

クラウドサービスを利用する企業は約7割を超え、いまやITビジネス環境に欠かせない存在です。AWS、Azure、GCPなどのクラウドサービスの代表例と、クラウド導入のメリットと不安、クラウドセキュリティを担保する方法を解説します

日本の各企業でも、クラウドサービス(クラウド)の利用はさらに進み、オンラインによるコミュニケーションやデータ共有、迅速なシステム構築などに活用されています。 しかし、ハードウェアを自社内やデータセンター等の設備内に設置する「オンプレミス」と比べ、セキュリティに対する漠然とした不安の声もあります。導入担当者やセキュリティ担当者は、クラウドセキュリティを確保していく必要があります。

この記事では、企業で活用されているクラウドサービスを例示しながら、「クラウド」「SaaS」「PaaS」「IaaS」「オンプレミス」などクラウド関連の用語を解説します。またクラウドサービスのメリットや不安点を挙げた上で、最後にクラウドセキュリティについて論じます。

クラウドサービスとは

クラウドサービスとは、ソフトウェアやサーバ、インフラなどを製品としてではなくサービスとしてクラウド事業者が提供するものです。これまでのソフトウェアやサーバの調達と異なり、利用者はサブスクリプション形式で利用料を支払い、クラウド上にあるリソースをサービスとして利用します。

クラウド(cloud)という名称は、ネットワークの模式図上で雲のような形状で示されるところからきました。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

サーバを事業所内に設置するような利用形態「オンプレミス」という用語は、「クラウド」の対義語のように使われていますが、英語のon-premiseの本来の意味合いは「敷地内の」というものです。

なおクラウドサービスを分類すると、3つの主要サービスがあります。具体的なイメージを掴めるよう、法人で幅広く使われているクラウドサービスを挙げながら紹介します。

SaaS(Software as a Service、サース、サーズ)

Gmail(Webメール)、Microsoft Office 365(オフィスソフト)、Dropbox(ストレージ)、Slack(チャット)などのサービスがあります。一般ユーザが使用するアプリケーションをサービスとして提供します。

IaaS(Infrastructure as a Service、アイアース、イアース)

利用者が選択したスペックやOSに合わせた、仮想的なマシン(インフラ)を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。

たとえばWebサービスを顧客に展開するときに、Webサーバとして活用するケースがあります。Amazon Elastic Compute Cloud(Amazon EC2)、Azure Virtual Machines、Google Compute Engine(GCP)といったサービスがあります。

PaaS(Platform as a Service、パース)

IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームがPaaSです。さまざまなサービスがありますが、たとえばAWSのAmazon Relational Database Service(Amazon RDS)では、主要なリレーショナルデータベース(RDB)をサポートします。また、GCPのGoogle App Engine(GAE)は、JavaやPythonなどで開発したアプリケーションをGCPのインフラ上で簡単にデプロイ、管理できるようになっています。

CaaS(Container as a Service、カース)

コンテナ技術を用いると、例えば開発用、本番用といった異なるサーバやOS間で同一の環境を持ち運べるなど、効率的なアプリケーション開発が実現できますが、複数のコンテナを組み合わせた大規模な環境では、それらを運用、管理するのに手間がかかります。CaaSは、複数のコンテナ利用に必要なオーケストレーション機能(管理/サポートする機能)を多数提供し、開発業務のさらなる効率向上を可能にします。代表的な例には、Docker、GKE(Google Kubernetes Engine)、Amazon ECS(Elastic Container Service)、VMware PKSなどのサービスがあります。

なお企業向けのクラウドセキュリティの議論はIaaSやPaaSを対象にしたものが中心です。これは、SaaSのセキュリティ管理は、クラウド事業者とサービサーが担うため、企業側で対応する余地があまりないためです。この記事でも、特に断りのない限りIaaSやPaaSを念頭に説明を進めていきます。

日本政府もAWSを導入!クラウドを利用する日本企業は7割に

2020年2月、政府が「政府共通プラットフォーム」にAWSを利用する 方針であることを発表しました。政府が採用を決める前から、企業でもクラウド利用が広がっています。以下は、総務省の通信利用動向調査の結果です。クラウドを全社的または一部の部門で活用する日本企業は毎年増え続け、2021年では70.2%に上っています。

国内におけるクラウドサービス利用状況

国内におけるクラウドサービス利用状況のサムネ
出典:
総務省「令和3年通信利用動向調査」企業編
総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公表)

クラウドサービス導入のメリット

ピーク性能に合わせて購入するのが一般的なオンプレミスと比べ、クラウドでは必要な時に必要なスペックで サーバやソフトウェアの契約を行うことが可能です。

1.どこからでもアクセスできる

WebメールやオンラインストレージといったSaaSを利用している場合、どこにいてもインターネットがあればアクセスできます。

2.負荷に応じて動的にシステム変更可能

アクセスの増減に合わせて、Webの管理ツールを操作するだけで、サーバを追加したり削減したりできます。オンプレミスと比べ、変更にかかる時間を大幅に短縮できます。 TVで取り上げられた場合などに発生する、突発的なアクセス増にも柔軟に対応可能です。

3.開発者が多くどんどん便利になっている

利用が急拡大しているグローバル規模のクラウド事業者は、世界中から優秀な開発者を集めており、次々と機能追加が行われています。

クラウドサービスに対する4つの不安

クラウドサービスに対する4つの不安のサムネ

1.情報漏えいリスク

どこからでもアクセスできて便利な反面、オンプレミス環境のように手元に情報を保持していない分、漠然とした不安や、攻撃対象になりやすいのではないかといった懸念があります。こうした懸念に応えるセキュリティ対策については後述します。

2.システム稼働率や法規制対応

クリティカルなサービスを提供する企業では、稼働率などを保証するSLA(Service Level Agreement)や、冗長構成を必要とする場合があります。また、クラウドサービスの利用にあたり、社内の基準やコンプライアンス、業界基準、国内法に準拠している必要があります。

これらの不安に対応して、AWSなど大手のクラウドサービスではSLAや第三者機関から取得した認証など、各種基準への対応状況を公表しています。

3.従量課金による費用変動

クラウドサービスの課金体系には、月額・日額の固定料金制もあれば、従量課金制もあります。利用形態によっては、オンプレミス環境を用意したほうが安価な場合もあります。システム利用計画を建ててから契約しましょう。

4.カスタマイズやベンダーのサポート体制

クラウド事業者は複数の顧客に共通のサービスを提供することで。オンプレミス環境と同様のカスタマイズやサポートは望めない場合もあります。

クラウドセキュリティ要件のガイドライン

クラウドセキュリティ要件のガイドラインのサムネ

クラウドサービス提供者側のセキュリティ要件として、たとえば総務省では「クラウドサービス提供における情報セキュリティ対策ガイドライン」を提供しています。

クラウド事業者は施設の物理セキュリティや、ネットワークなどのインフラのセキュリティに責任を持ちますが、利用者側にもネットワーク周りの設定や管理アカウントの管理などの対策が求められます。

クラウドの設定ミスに起因する事故

AWSに置かれていた、米ウォールストリートジャーナル紙の購読者名簿220万人分が、第三者による閲覧が可能な状態になっているという事故がありました。これは、利用者側の設定ミスに起因するものです。

オンプレミス環境ではサーバを直接操作する人は限られており、サーバルームの入退室記録簿等々、事故が起こらないようにさまざまなルールや、それを守る体制がありました。しかしクラウドでは、前述したようにどこからでもアクセスして、Web管理ツールで簡単にシステムを変更できるという利点が、逆に事故につながる場合があります。

クラウドセキュリティ対策の方法は?

ひとつは、クラウドサービスの設定に関わるベストプラクティス集を利用する方法です。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

もうひとつは、クラウドの設定にセキュリティ上の問題がないか診断するツールを利用する方法です。実用するには一定の習熟が必要で、たとえば出力された多数の脆弱なポイントについて、どこを優先して対処していくかの判断が求められます。セキュリティ企業が提供する診断サービスを利用する方法もあります。パブリッククラウドの設定にリスクがないか専門家が診断します。

クラウドセキュリティ設定診断サービスのサムネ

まとめ

・クラウドのセキュリティは、クラウドサービスの提供側と利用者側双方で担保する
・提供側はインフラ等のセキュリティに責任を負う
・利用者側はセキュリティ、ネットワーク、アカウントなどの設定・管理を適切に行う
・利用者側の対策として、ベストプラクティスの活用、自動診断ツール、セキュリティベンダーの提供するサービスを利用するといった方法がある


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
リクルートのサムネ
セキュリティトピックス告知のサムネ

OWASP Top 10
―世界が注目するWebアプリケーションの重大リスクを知る―

Share
瓦版vol.14アイキャッチ画像

2021年9月、4年ぶりに「OWASP Top 10 2021」が公開されました。国際的なセキュリティ啓発コミュニティであるOWASP(オワスプ:Open Web Application Security Project)が、悪用のしやすさ、検出のしやすさ、技術面への影響度などを考慮して重大なリスクを選び出したものになります。「OWASP Top 10」はWebサイトのセキュリティ対策のポイントに、参考にされることが多いガイドラインの一つですが、どのようなセキュリティリスクが挙げられているのかご存知でしょうか? 本記事では、OWASP Top 10の各リスクのカテゴリ毎に脆弱性例と対策案をまとめ、最後に弊社視点での脆弱性対策の推奨案をご紹介いたします。

「OWASP Top 10」とは

OWASPは、Webアプリケーションセキュリティに関する研究、診断ツールの開発、ガイドラインの発行、イベント開催といった活動を行う国際的なオープンソース・コミュニティです。 「OWASP Top 10」は、Webアプリケーションにおいて、重大と見なされるセキュリティリスクを選定し、解説したものです。2003年以降定期的に発行されており、2021年9月、前回の「OWASP Top 10 2017」より4年ぶりとなる「OWASP Top 10 2021」が公開されました。

「OWASP Top 10 2021」を紐解く

では、どういったリスクが最新のTop 10に挙げられているのか、見ていきましょう(以下、「前回」とは、「OWASP Top 10 2017」を指す)。

A1アクセス制御の不備
A2暗号化の失敗

プロトコルバージョンの対応策や暗号技術の活用方法について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
Webサイトのセキュリティ強化を!TLSバージョンアップの対応にむけて
暗号技術を安全に活用するために―今、やっておくべきセキュリティ対策―

A3インジェクション
A4安全が確認されない不安な設計
A5セキュリティの設定ミス
A6脆弱で古くなったコンポーネント
A7識別と認証の失敗
A8ソフトウェアとデータの整合性の不具合

セキュアな開発ライフサイクル・CI/CDのセキュリティ対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
Webアプリケーション開発プロセスをセキュアに―DevSecOps実現のポイント―

A9セキュリティログとモニタリングの失敗
A10サーバーサイドリクエストフォージェリ(SSRF)

脆弱性を悪用した攻撃の脅威

攻撃者にとって、機密を含む様々な情報を取り扱っているWebアプリケーションは宝の山であり、魅力的なターゲットです。Webアプリケーションにおいて、脆弱性が放置されていると、サイバー攻撃の足掛かりとして利用されてしまいます。

脆弱性を悪用された例は、被害者企業の業種、規模を問わず、発生し続けています。被害を受けると、直接的な金銭被害のほか、顧客や取引先の信用失墜等、事業活動に深刻な影響を及ぼす恐れがあります。

インジェクション攻撃例
NEWソフトウェアとデータの整合性の不備 攻撃例

SQLインジェクションの脆弱性について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
SQLインジェクションの脆弱性、企業が問われる2つの責任とは

設計・開発段階で作りこまれる脆弱性

Webアプリケーションにおけるセキュリティリスクは、もちろんOWASP Top 10ばかりではありません。OWASPほか、NIST、IPAなどが公開している各種セキュリティガイドラインを活用して、Webアプリケーションに脆弱性を作りこまないようにすることが重要です。開発にあたっては、仕様どおり動作しないという欠陥・不具合であるバグの解消はもちろんですが、セキュリティ上の欠陥・不具合である脆弱性にも対処する必要があります。

しかしながら、現実には脆弱性を完全にゼロにしてシステムをリリースするのは、非常に困難であるのもまた事実です。設計・開発の段階で、気の遠くなるような数のセキュリティ脅威、攻撃パターンをすべて検討・想定・対応し切ることは不可能だからです。

つまり、セキュリティを考慮した設計・開発の実施は大前提としつつ、脆弱性は意図せず作りこまれてしまうものであることも認識しておく必要があるでしょう。

脆弱性診断の活用

では、意図せず作りこまれてしまう脆弱性に、どう対処すればいいでしょうか。それには脆弱性診断を実施することが、最も有効な手段の一つと言えます。

脆弱性診断によって、システムにどのような脆弱性があり、どの程度のリスクがあるのか可視化され、その優先度に応じてセキュリティ対策を検討・実施することができます。

なお、弊社では「企業の対策すべき脆弱性入門」と題したウェビナーで、弊社脆弱性診断の検出結果を基に対応緊急度の高い脆弱性について取り上げております。参考にしていただけましたら幸いです。

脆弱性診断を効果的に活用するには、システムの機能や取り扱う情報の重要度に応じて、実施時期や頻度を考慮することも大切です。セキュリティ事情は常に変化しています。日々新たな脆弱性が発見され、サイバー攻撃も巧妙化する一方です。また、何年も前に報告されたのに放置されがちな脆弱性が、改めて悪用されることもあります。健康診断と同様、脆弱性診断も定期的に実施することが重要なのです。

脆弱性対策有効な手段について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―

また、「SQAT® Security Report」では、セキュリティ事情に関するトピックをお伝えしております。情報収集の一助としてご活用ください。


参考情報:


BBSecの脆弱性診断サービス

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

「毎日/週など短いスパンで定期診断して即時に結果を知りたい」

デイリー自動脆弱性診断「Cracker Probing-Eyes®」は、脆弱性の検出結果を、お客様側での簡単な操作で、日々確認できます。導入のための設備投資が不要で、コストを抑えつつ手軽に診断できます。 世界的なセキュリティ基準をベースにした弊社独自基準を設け、シグネチャの見直しも弊社エンジニアが定期的に行うことで、信頼性の高い診断を実現しております。

「システム特性に応じた高精度な診断をしたい」

対象システムの機能が複雑である、特にミッションクリティカルであるなどの理由により、広範囲かつより網羅性の高い診断をご希望の場合は、弊社エンジニアが手動で実施する「SQAT®脆弱性診断サービス」をおすすめします。 Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー



ニューノーマルに求められる脆弱性対策

Share

SQAT® Security Report 2021年春夏号

テレワークをする女性(アイキャッチ画像)

※本記事は、2021年3月公開SQAT®Security Report 2021年 春夏号の記事、
「巻頭企画:ニューノーマルに求められる脆弱性対策」の一部抜粋になります。

株式会社ブロードバンドセキュリティ
高度情報セキュリティサービス本部 本部長 大沼 千秋

去る2020年は、新型コロナウィルス感染症(COVID-19)のまさに世界規模なパンデミックにより、我々の生活ばかりでなくビジネスをも大きく変革させた一年だった。中でもテレワーク、リモートワークといった遠隔による勤務形態の整備は、従来様々な理由から普及が伸び悩んでいたが、ここ一年ほどの間で加速度的に普及しつつある。また、ビジネスにおけるIT環境も、クラウドシフトが一気に進行している。

従来のオンプレミス型からクラウド型へのシステム構築・運用環境の移行は、様々な企業のIT戦略において、優先度の高い課題といえるだろう。そして、テレワーク、クラウドシフトが進んでいく中で、新たなセキュリティ上の問題が顕在化してきていることも事実だ。特に、急ピッチでこれらの環境を整備し、運用開始しているケースでは、以前よりもサイバーセキュリティ脅威および危険性は増大しているといっても過言ではない。本稿では、アフターコロナにおけるニューノーマルを見据えた企業における脆弱性対策に焦点を当て、どういったことを推進していくことが必要か解説していきたい。

テレワークとクラウドシフトに伴う脅威

企業のネットワークやOAシステムといったITインフラには、既に様々なセキュリティ対策が講じられているものと思われる。このセキュリティ対策の大原則は、インターネットとの境界を防御するという考え方に基づいており、ファイアウォールによるアクセス制御、攻撃検知のための侵入検知・防御システム(IDS・IPS)、DMZ(DeMilitarized Zone:非武装地帯)を用いた公開システムの区分、安全なWeb閲覧のためのWebプロキシ、マルウェア対策ツール、EDR(Endpointo Detection and Response)による監視、といった対策を組み合わせることによるセキュリティの確保を意味する。

ところが、昨今のテレワーク、クラウドシフト(左下・右下グラフ参照)で在宅による業務環境の提供が不可欠となったことにより、社内の環境は一定のセキュリティが確保されているので安全である、という前提が崩れてきている。本来であればインターネットから接続できない各種業務システムへのアクセス許可や、業務における各種情報を共有するためのクラウドストレージサービスの利用、営業活動における情報管理のためのCRM(Customer Relationship Management:顧客管理システム)の導入や、グループウェア等に代表されるSaaS型クラウドサービスの活用等といった具合に、業務システムが様々な領域へと進出し、多様化してきていることから(下イメージ)、セキュリティ対策としては一箇所だけを守っていれば安全である、という常識は既に覆っていると考えて間違いない。

例えば、テレワーク導入を急ピッチで進めている中で、 (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
2.ゼロトラストによるセキュリティの確保
3.セキュリティ状態の可視化と有効性評価
4.ニューノーマルに伴うセキュリティのあり方

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー



Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―

Share

DevSecOpsは、「DevOps」―開発(Development)チームと運用(Operations)チームが相互協力しながら品質を向上させ続けるサイクル―の一環に、セキュリティ(Security)を組み込むことで、トータルコストを低減しつつ、さらなるクオリティ向上を実現する手法です。セキュアなWebアプリケーション開発プロセスの実現のためには、この考え方が重要です。しかし、多くの企業・組織にとって、DevSecOpsの実現には様々な課題があるのが実情です。 本記事では、開発の現場担当者が感じている課題を整理したうえで、セキュアなWebアプリケーション開発にむけて、どのように取り組むべきかについてご紹介します。

OWASP Top10に新たな項目

2021年9月、「OWASP Top 10 2021」が発表されました。Webアプリケーションセキュリティに関する最も重大な10項目のリスクを取り上げたものです。前回発表された2017年版(OWASP Top 10 2017)から4年ぶりの更新となります。

※OWASP(Open Web Application Security Project)…Webアプリケーションセキュリティに関する国際的コミュニティ

2017年版Top 10の各項目は、2021年版ではそれぞれ順位を上げ下げしつつ、一部統合されて7項目となり、完全に消えたものはありませんでした。そして、新たなカテゴリが3項目追加される形で計10項目となりました。

OWASP Top 10 – 2021

A01:2021 –アクセス制御の不備
A02:2021 –暗号化の不備
A03:2021 –インジェクション
A04:2021 –NEW セキュアでない設計
A05:2021 –セキュリティ設定のミス
A06:2021 –脆弱かつ古いコンポーネントの使用
A07:2021 –識別と認証の不備
A08:2021 –NEW ソフトウェアとデータの整合性の不備
A09:2021 –セキュリティログとモニタリングの不備
A10:2021 –NEW サーバサイドリクエストフォージェリ(SSRF)

NEW」は2021年度版で追加された項目
https://owasp.org/Top10/ より弊社和訳

新設された3項目のうち2つが、システム開発のプロセスにかかわる内容に焦点を当てています。

● セキュアでない設計(Insecure Design)
  ポイント:設計における管理策の欠如、ロジックの検証が不十分である等
  推奨対策:シフトレフトによる開発ライフサイクルの実践 等
● ソフトウェアとデータの整合性の不備(Software and Data Integrity Failures)
  ポイント:安全でないデシリアライゼーション、
  信頼できないコンポーネントの利用、CI/CDパイプラインにおける検証不備 等
  推奨対策:データの整合性チェック、コンポーネントのセキュリティチェック、
  CI/CDのセキュリティ対策

※シフトレフト…開発工程のより早い段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方

ここで推奨対策例として出てきた「シフトレフト」と「CI/CDのセキュリティ対策」はアプリケーション開発プロセス手法である「DevSecOps」実現に欠かせません。

アプリケーション開発における「DevSecOps」

DevSecOpsは、「DevOps」―開発(Development)チームと運用(Operations)チームが相互協力しながら品質を向上させ続けるサイクル―の一環に、セキュリティ(Security)を組み込むことで、結果的にトータルコストも削減でき、サービスの価値をさらに向上させる手法です。

DevSecOpsとシフトレフト(Shift Left)について、詳しくは過去記事「前倒しで対処 ー セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とはー」をご覧ください。

“セキュリティ”が組み込まれていないと…

DevSecOpsにおけるシフトレフト

DevSecOps実現のためには、「シフトレフト」の考え方が大切になります。セキュリティを開発の最終段階で対応したのではすでに遅く、開発プロセスの全フェーズにおいて常にセキュリティ上の課題を先取りして解決しながら進めることが、テストやリリースといった最終段階での手戻りを防ぎ、結果的にトータルコストの削減と品質の向上に寄与します。

DevSecOpsにおけるCI/CDのセキュリティ対策

“Sec”が入らないDevOpsにおいては、設計・実装を小さな単位で素早く繰り返し実行していく手法(アジャイル開発手法等)が一般的ですが、このスピード感をサポートするのが「CI/CD」です。

CI/CDの説明図

CI(Continuous Integration)は継続的インテグレーション、CD(Continuous Delivery)は継続的デリバリの略です。アプリケーション開発におけるコード、ビルド、テスト、デプロイといった各作業を自動化して継続的にサイクルを回せるようにする仕組みを指します。オンプレミスでもクラウド上でも展開可能で、CI/CDを提供する様々なツールやサービスが提供されています。

ただし、CI/CDはセキュリティ上のリスクにもなりえます。CI/CD環境に脆弱性が潜んでいて不正アクセスされるようなことがあれば、そこを発端に組織全体が危険にさらされる恐れもあるのです。このため、DevSecOps実現のためには、CI/CDのセキュリティ対策が不可欠です。

セキュアでない設計によるリスク

では、シフトレフトが意識されていない、セキュアでない設計にはどのようなものがあるでしょうか。ユーザの認証に用いられる情報がIDと生年月日である場合、生年月日は他者が容易に知りうる情報なので、本人確認の仕様としてはふさわしくないことがわかります。例えば、補助金の申請システムにおいて、申請者の本人確認や申請内容の検証が甘いために容易に複数の虚偽申請を許してしまうようでは、実用に耐えるとはいえないでしょう。

こうしたセキュリティについて考慮されていない設計は、弊社の脆弱性診断でも相当数検出されています。アカウントロックアウトが設定されていない、Webサーバからのレスポンスにクレジットカード番号のような重要情報が含まれている、個人情報が暗号化されないまま送信されている、といった例は多々見受けられます。放置しておくと、個人情報や機密情報の漏洩を引き起こしかねません。

プライバシーマーク推進センターによって報告された、2020年度「個人情報の取扱いにおける事故報告集計結果」によると、誤送付や紛失・盗難によらない情報漏洩のうち、プログラムやシステムにおける設計・作業ミスを原因とするものは102件あったとのことです。大した件数ではないようにも見えますが、インシデント1件あたりの漏洩件数が増加傾向にあるとの報告もあり、影響の大きさに注意が必要です。また、これらはあくまで報告があったものだけの数ですので、セキュアでない設計によるアプリケーションが人知れず稼働したままになっている危険性は大いにあるでしょう。

一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター
2020年度「個人情報の取扱いにおける事故報告集計結果」(2021年10月15日更新)より

CI/CDパイプラインにおける検証不備によるリスク

コードカバレッジツールへのサイバー攻撃の概要図

CI/CDパイプラインに起因するリスクの方はどうでしょう。2021年にあるインシデントが発生しました。ソースコードのテスト網羅率を計測するコードカバレッジツールがサイバー攻撃を受けた結果、このツールを使用していた国内企業のCI環境に不正アクセスされ、重要情報を含む1万件以上の情報漏洩につながったというものです(右図参照)。

自動化、高効率化ツールによる利便性を享受するためには、そこに係るすべてのツールや工程におけるセキュリティチェックを行う必要があるのです。

DevSecOps実現を阻む壁

さて、安全なWebアプリケーション開発の重要性は認識できているとしても、実現できなければ意味がありません。とはいえ、DevSecOps実現には、多くの企業・組織において様々な障壁があるものと思われます。今回は主な障壁を「組織」と「技術」のカテゴリに分類し、それらの問題点および解決の糸口を考えていきます(下図参照)。

DevSecOps実現のためにできること

DevSecOpsに特化したガイドラインが存在しないというのも、対応を難しくしている要因の1つかもしれません。とはいえ、Webアプリケーション開発におけるセキュリティ対策の課題を考慮すると、鍵となるのはやはりシフトレフトです。シフトレフトを意識しながら、システム開発プロセスに組み込まれたセキュリティ対策を実践する例として、以下のようなイメージが考えられます。

Webアプリケーション開発におけるセキュリティ対策実施の背景には、Webアプリケーションの規模や利用特性ばかりでなく、開発組織の業務習慣や文化等、様々な事情があることでしょう。例えば、セキュアコーディングのルール整備やスキルの平準化が不十分という課題があれば、まずは現場レベルでそこから取り組んでいくといったように、信頼されるWebアプリケーション構築のために、少しずつでもDevSecOpsの実装に近づけていくことが肝要です。

【参考】システム開発プロセスのセキュリティに関するガイドライン・資料等

●NIST
 Security Assurance Requirements for Linux Application Container Deployments
 https://csrc.nist.gov/publications/detail/nistir/8176/final

●OWASP
 OWASP Application Security Verification Standard
 https://github.com/OWASP/ASVS

●内閣サイバーセキュリティセンター(NISC)
  情報システムに係る政府調達におけるセキュリティ要件策定マニュアル
  https://www.nisc.go.jp/active/general/pdf/SBD_manual.pdf

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー