パブリッククラウド利用システムにおける
セキュリティ診断

Share

SQAT® Security Report 2019年9月号掲載

雲とネットワークのイメージ図

※本記事は、SQAT®Security Report 2019年 9月号の記事、
「パブリッククラウド利用システムにおけるセキュリティ診断」の一部抜粋になります。

増えるパブリッククラウド利用とセキュリティ事情

クラウドサービスは、自社でサーバを抱える必要がないことから、導入および運用コストが大幅に削減できるため、今や企業ネットワーク環境構築における選択肢の1つとなっており、オンプレミスからクラウドに移行する企業は増えている(下グラフ参照)。その際、スケジュール等の事情によりシステムを見直す余裕がなく、そのままの状態で移行せざるを得ないケースもあるのが実情だろう。しかしながら、開発や改修後のリリース前にシステムの脆弱性診断を実施すべきであるのは、クラウドへの移行時も例外ではない。

クラウドサービスの利用状況

出典:総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公開)

自組織が業務用のパブリッククラウド(AWS、Microsoft Azure等)を利用している場合、ハードウェアまではクラウド事業者が管理しているが、OSおよびそれより上の層については利用企業側に責任があることを忘れてはならない。パブリッククラウド上のWebアプリケーションやECツール等で使用しているOS、ミドルウェア、アプリケーションといった各コンポーネントは、経年により脆弱性が発見される宿命だ。セキュリティ対策として、定期的にそれらを更新する必要がある。

オンプレミスと同様、パブリッククラウド上にシステムを構築している場合も、自組織のシステムが情報漏洩や改竄、DoS攻撃等の被害に遭う危険性があるかどうか、適宜把握しておく責任がある。このため、パブリッククラウド上のシステムにおいても、定期的に脆弱性診断を実施するのが望ましい。

パブリッククラウド向け脆弱性診断の必要性

パブリッククラウド向けでない一般的なリモート診断では、ファイアウォール越しで実施するため、ファイアウォールでアクセスを許可しているポートに対してしか診断できない。これに対し、パブリッククラウド向け診断では、直接アクセスできるセグメントに対して実施するため、管理用ポート等、ファイアウォールでアクセス制限されていることの多いポートに対しても診断可能だ。

インシデントのリスクは、外部に公開されたシステムにとどまらないことを忘れてはならない。例えば、AWSを社内インフラとして使用している企業があるとする。そういったシステムは (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.CISベンチマークを利用したセキュリティチェックの必要性
4.診断を受けるにあたっての注意点

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

ニューノーマルに求められる脆弱性対策

Share

SQAT® Security Report 2021年春夏号掲載

テレワークをする女性(アイキャッチ画像)

※本記事は、2021年3月公開SQAT®Security Report 2021年 春夏号の記事、
「巻頭企画:ニューノーマルに求められる脆弱性対策」の一部抜粋になります。

株式会社ブロードバンドセキュリティ
高度情報セキュリティサービス本部 本部長 大沼 千秋

去る2020年は、新型コロナウィルス感染症(COVID-19)のまさに世界規模なパンデミックにより、我々の生活ばかりでなくビジネスをも大きく変革させた一年だった。中でもテレワーク、リモートワークといった遠隔による勤務形態の整備は、従来様々な理由から普及が伸び悩んでいたが、ここ一年ほどの間で加速度的に普及しつつある。また、ビジネスにおけるIT環境も、クラウドシフトが一気に進行している。

従来のオンプレミス型からクラウド型へのシステム構築・運用環境の移行は、様々な企業のIT戦略において、優先度の高い課題といえるだろう。そして、テレワーク、クラウドシフトが進んでいく中で、新たなセキュリティ上の問題が顕在化してきていることも事実だ。特に、急ピッチでこれらの環境を整備し、運用開始しているケースでは、以前よりもサイバーセキュリティ脅威および危険性は増大しているといっても過言ではない。本稿では、アフターコロナにおけるニューノーマルを見据えた企業における脆弱性対策に焦点を当て、どういったことを推進していくことが必要か解説していきたい。

テレワークとクラウドシフトに伴う脅威

企業のネットワークやOAシステムといったITインフラには、既に様々なセキュリティ対策が講じられているものと思われる。このセキュリティ対策の大原則は、インターネットとの境界を防御するという考え方に基づいており、ファイアウォールによるアクセス制御、攻撃検知のための侵入検知・防御システム(IDS・IPS)、DMZ(DeMilitarized Zone:非武装地帯)を用いた公開システムの区分、安全なWeb閲覧のためのWebプロキシ、マルウェア対策ツール、EDR(Endpointo Detection and Response)による監視、といった対策を組み合わせることによるセキュリティの確保を意味する。

ところが、昨今のテレワーク、クラウドシフト(左下・右下グラフ参照)で在宅による業務環境の提供が不可欠となったことにより、社内の環境は一定のセキュリティが確保されているので安全である、という前提が崩れてきている。本来であればインターネットから接続できない各種業務システムへのアクセス許可や、業務における各種情報を共有するためのクラウドストレージサービスの利用、営業活動における情報管理のためのCRM(Customer Relationship Management:顧客管理システム)の導入や、グループウェア等に代表されるSaaS型クラウドサービスの活用等といった具合に、業務システムが様々な領域へと進出し、多様化してきていることから(下イメージ)、セキュリティ対策としては一箇所だけを守っていれば安全である、という常識は既に覆っていると考えて間違いない。

例えば、テレワーク導入を急ピッチで進めている中で、 (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
2.ゼロトラストによるセキュリティの確保
3.セキュリティ状態の可視化と有効性評価
4.ニューノーマルに伴うセキュリティのあり方

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


 

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

情報漏えいとは? 代表的な原因や求められる対応策

Share

情報漏えいとは、サイバー攻撃などによる不正アクセスや、ノートPCの紛失などによって、企業や組織の保有する外部に出てはいけない情報が漏れてしまうことです。個人情報漏えいが特に注目されますが、企業の営業情報や知的財産、国家機密など、漏えいする情報は多岐にわたります。

インターネットの普及に伴い、Webサービスへの会員登録などで個人情報が大量に蓄積され、同時にノートPC・スマホ・USBメモリ等の記憶媒体の容量が増加、情報漏えいも大規模化しました。こうした社会の変化に対応し、2005年(平成17年)、「個人情報の保護に関する法律(個人情報保護法)」が施行されました。

個人情報保護法では、個人情報漏えいが発生した組織は、事実関係と再発防止策に関して、政府の個人情報保護委員会等に「速やかに報告するよう努める」とされており、業種によっては監督官庁への報告義務が課される場合もあります。

情報漏えいの重大度の違い

どんな情報が漏えいしたかによって漏えい事故の深刻度は異なります。「顧客の個人情報が○○件漏えい」といった報道の見出しを見かけますが、漏えいの件数以外にも、情報漏えい事故の重さ、深刻さを左右するポイントを挙げます。


・クレジットカード情報
被害に遭ったユーザーに金銭被害をもたらす可能性の有無という点で、漏えいした情報にクレジットカード情報が含まれていたかどうかは重要なポイントです。損害賠償等が発生した場合、クレジットカード情報が含まれていると被害者への賠償額がアップします。

・セキュリティコード
クレジットカード情報の名義人・カード番号・有効期限だけでなく、3桁のセキュリティコードを含むかどうかが事故の深刻さを左右します。被害に遭ったユーザーに金銭被害をもたらす可能性がより高くなるからです。

・パスワード
たとえばメールアドレスとセットでそれに紐付くパスワードも漏えいしていたとしたら事態はより深刻です。オンラインサービスなどに悪意の第三者が不正ログインできてしまうからです。

・平文パスワード
一般的にパスワードは、もしパスワードを記載したファイルが漏えいしても、第三者が内容を閲覧できないように暗号化して管理するのが常識です。しかし、稀に暗号化されていない平文(ひらぶん)のパスワードが流出する場合があります。こうなった場合、申し開きが全くできない最悪の管理不備のひとつとして、厳しい批判と鋭い糾弾の対象となります。擁護する人は誰もいなくなります。

・機微情報
信条(宗教、思想)や門地、犯罪歴等、さまざまな社会的差別の要因となる可能性がある情報を機微情報といいます。特に、各種成人病やその他疾病など、保健医療に関わる機微情報は医薬品のスパムメールや、フィッシングメールなどに悪用されることがあり、その成功確率を上げるといわれています。


以上のように、ひとくちに個人情報漏えいといっても、その重大さの度合いは異なり、社会やユーザーからの受け取られ方にも差があります。

弁解の余地もない真っ黒な管理状態ではなく、「不幸にも事故は起こってしまったが、打つべき予防対策は事前にしっかり打たれていた」と、ステークホルダーに理解されれば、ビジネスインパクトは限定的なものになる可能性もあります。

情報漏えいの原因は悪意にもとづくものだけではない

「ハッカーによるサイバー攻撃」「従業員による内部犯行」。情報漏えいが起こる原因としてすぐにこれらが思い浮かびますが、そういった悪意に基づく攻撃ばかりが情報漏えいの原因ではありません。

冒頭で挙げたPC・スマホ・USBメモリの不注意による紛失はいまも漏えい原因の多くを占めていますし、Webサイトのアクセス制限設定ミスで個人情報が見える状態になっていたり、開発中の会員管理システムのテストデータとして、うっかり誤って実在する個人の情報を使ったり等々、必ずしも悪意によるものではなく、管理不備やケアレスミスでも情報漏えいは発生します。

近年、クラウドコンピューティングが普及したことで、影響の大きい設定変更等の操作をブラウザからワンクリックで行うことが可能になりました。こうしたクラウドサービスの設定ミスによる情報漏えいも増加しています。

不正アクセスによる情報漏えい事故が増加している

もちろん、悪意ある攻撃も猛威を振るっています。ハッカーによるサイバー攻撃など、以前はアニメと映画の中だけのお話でした。しかし、不正アクセスによる情報漏えいが2010年以降増加し始めました。

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が毎年行っている調査「情報セキュリティインシデントに関する調査報告書」によれば、それまでの攻撃と質が異なる攻撃、「標的型攻撃」が観測されはじめた2010年頃から、不正アクセスが原因となるサイバー攻撃は8年で20倍という伸びを見せています。ケアレスミスや管理不備への対策とは別の手を打つ必要があります。

漏えい原因における不正アクセスの比率

2010年 1.0 %
2011年 1.2 %
2012年 1.5 %
2013年 4.7 %
2014年 2.4 %
2015年 not available
2016年 14.5 %
2017年 17.4 %
2018年 20.3 %

専門セキュリティ企業に調査や対応を依頼するタイミング

事故が起こった後の対応の善し悪しも、ユーザーや社会の受け取り方を大きく変えます。独立行政法人情報処理推進機構(IPA)は、情報漏えい事故が起こった企業や組織に向けて「情報漏えい発生時の対応ポイント集」を公開していますが、過去に個人情報漏えい事案に対処した経験がある練度の高いCSIRTチームが社内に存在でもしない限り、被害実態調査やその後の対策などは、専門セキュリティ企業に相談するのがもっとも安全で一般的な方法です。

セキュリティ業界では、セキュリティ緊急対応サービスに相談が来る曜日や時間に傾向があると言われています。それは、「金曜日の午後」「連休前の午後」です。つまり、事故は週前半または半ばに発生していたが、なんとか自分たちで解決できないかもがき苦しんだ後、最後の最後であきらめて、「休日を挟む前に」セキュリティ企業へ連絡をするからです。自分たちで精一杯手を尽くした努力も空しく諦めざるを得ないとは、身につまされる話です。

しかし、時間が経過すればするほど、調査に必要なエビデンスが失われることもあります。情報漏えい事故が起きたら、信頼できる専門企業にすぐ相談してください。

情報漏えい事故の報告書と収束までの流れ

専門セキュリティ企業の協力の元、デジタルフォレンジックによる原因や被害範囲などの調査が行われ、一定の社会的インパクトがある情報漏えいであれば、報告書を公開します。場合によっては記者会見を行い、調査分析のための第三者委員会が組織される場合もあります。

インシデントの全容を解明した報告書作成には数か月かかるかもしれませんが、その前にまず事件の概要、情報漏えい対象者の範囲や救済措置などについては、なるべく早く情報公開することが大事です。

速報第一報に限らず、情報漏えい事故の調査報告書に必要な項目は下記のとおりです。


・漏えいした情報の内容

・漏えい件数

・原因

・現在の状況

・今後の対策


重要なのは、速報公表まであまり時間をかけないことです。時間がかかるほど、どんなにその調査が合理的で必要なものであっても、SNSなどで「事故を隠そうとしたに違いない」といった、批判の対象となることがあります。

また、第一報につづく第二報では、内容の大きな修正があってはなりません。特に第二報で漏えい件数が大幅に増えていたりすると、「事故を小さく見せかけようとした」「初動対応に失敗した」などの誤ったイメージすら与えかねません。速報では、論理的に最大の漏えい可能性がある件数を、必ず記載してください。詳細な調査を待たずとも、速報で最大値推定を出すのは難しくありません。

企業側は、組織の透明性を確保しながら、とにかく誠意を見せることが重要です。たとえば報告書の「今後の対策」の欄に、どんな対策を実施するかという詳細を公表する必要はありません。しかし、大まかな予定であっても「いつまでに何々という対策を実施する」とマイルストーンを設置して計画を可視化することで、ステークホルダーやユーザーの心証は好転します。

情報漏えいを予防する対策

これまで述べてきたように、情報漏えいには性質の異なる複数の原因があり、原因毎に予防対策は異なります。

まずは従業員によるノートPCやUSBメモリの紛失などを減らすために、セキュリティリテラシーを向上させるアウェアネストレーニングが有効です。IPAが刊行する「情報漏えい対策のしおり」など、無料の教材や動画も多数公開されています。同時に、ノートPCやUSBメモリの管理規定も定めましょう。

また、近年増加しているAWSのようなクラウドサービスの設定不備による事故の対策として、設定ミスや、現在の設定のリスクを網羅的に検知するサービスも提供されるようになっています。

先に挙げた通り、不正アクセスによる情報漏えいは過去約10年で20倍という驚くべき増加を見せています。サイバー攻撃の侵入を許す穴がないかどうかを探す脆弱性診断や、脆弱性を利用してひとたび侵入された場合、何がどこまでできてしまうのかを検証するペネトレーションテストも、不正アクセスに対する極めて有効な対策方法です。

新しい社員の入社や退職など、組織は日々変化し、業務やシステム構成・Webアプリケーションも進化を続けます。昨日までは安全だったWebアプリケーションに、今日新しい脆弱性が見つかることもあります。上記に挙げた対策はいずれも一度実施したら終わりではありません。定期的に継続することで真の効果を発揮します。

そもそも事故が起きないことが一番素晴らしいことですが、せめて「事故は起こったものの打てる手はちゃんと打っていた」と言えるようにしておくべきです。

まとめ

・個人情報保護法では、個人情報の漏えいを起こした組織が講ずるべき措置が定められている。
・情報漏えい事故の深刻度は、漏洩した件数だけでなく、漏えいした情報の内容にも大きく左右される。
・情報漏えいは、悪意に基づく不正アクセスのほか、設定不備や管理上の不注意が原因で発生することもある。
・情報漏えい事故が発生したら、速やかに信頼できる専門セキュリティ企業に依頼するのが有効。
・情報漏えい事故に関する事実の公表は、組織の透明性を確保しながら誠意をもって臨むことが重要。
・情報漏えいの予防には、従業員のセキュリティリテラシー向上教育、クラウド設定不備の検査、脆弱性診断やペネトレーションテスト等の対策がある。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

押さえておきたいクラウドセキュリティ考慮事項
―クラウドへ舵を切る組織のために―

Share

5/25(月)、全国において緊急事態宣言が解除されました。政府から「新しい生活様式」への対応が求められる中、今後もテレワークとそれを支えるツールやサービスの利用・準備の一環として、より広範囲にクラウドの利用を検討する企業・組織が増えると考えられます。本記事では、クラウドのさらなる利用拡大が予想される状況下、セキュリティに関して考慮すべきポイントを解説します。


この2つの数字は、統合型クラウドコラボレーションツールのミーティング機能におけるアクティブユーザ数を示したものです。「1億」はGoogle G Suite「Google Meet」のアクティブユーザ、「7,500万」はMicrosoft 365「Teams」のアクティブユーザとなります(2020年4月時点)。現在、上記2つのツールをはじめとしたオンラインMTGツール全般が、この数か月で急激にユーザ数を伸ばしていることはニュースなどでご存じの方も多いでしょう。

足元で一気に加速するクラウド利用

新型コロナウイルスの感染拡大以降、テレワークのためのツールとしてオンラインミーティングを導入した企業・組織は多数に上ります。また、オンラインミーティング機能を皮切りに、ファイル共有、ドキュメント作成、メールなどの機能を追加で導入した、導入を検討しているといったケースも多いのではないでしょうか。単機能の各種サービスを組み合わせて利用されているケースもあるでしょう(例えば、Web会議システム、チャットツール、ファイル共有システム、仮想デスクトップの組み合わせなど)。

そして、新型コロナウイルスの感染拡大第一波終息後については、ご存じの通り、政府から「新しい生活様式」を取り入れ、実践していくことが求められています*1。「3密回避」は、緊急事態宣言解除後も1年以上、中には数年単位で必要との予測*2もあることから、今後も、テレワークとそれを支えるツールやサービスの利用・準備については、オフィス環境やPCを従業員向けに整える取り組みと並行した対応が必要となるでしょう。「新しい生活様式」への一策となる前述のコラボレーションツールなどを入口に広範囲でクラウドの利用を検討する企業・組織が増え、さらには「2025年の崖」問題、DX推進、経済状況の変動に対応できるスケーラブルなシステムへの移行の必要性といった既存の推進要因も相まって、クラウド化の勢いは当面の間続くと見込まれます(図1参照)。そこで、今後クラウドのさらなる利用拡大が予想される中、セキュリティに関して考慮すべきポイントを以下に解説します。

図1:クラウド利用の加速の背景


クラウドのセキュリティで押さえておくべき2つのポイント

1.パブリッククラウドサービスのセキュリティモデルは、利用者とクラウドサービスプロバイダ(以下CSP)双方で責任を共有・分担するモデルである

まず知っておきたいのは、「パブリッククラウドサービスを利用すれば、そのセキュリティ対策もCSPに任せられる」わけでは無い、という点です。クラウドでは、利用者とCSPの双方で責任を共有・分担することになり、責任の所在が切り替わる境界となる「責任分界点」は、SaaS、PaaSといったクラウドの提供形態によって異なってきます(図2参照)。このため、契約、運用にあたっては、採用したサービスのどこまでがCSP、どこからが自組織(=利用者)の責任となるのかを明確に把握することが求められます。なお、ユーザアクセスやデータの管理についてはいずれのサービス形態でも利用者の責任となることから、ユーザアクセスのログの取得や監査、提供されるユーザ認証がセキュリティ上十分な機能を有するかの確認は、必ず利用者側で対応する必要があります。

2:クラウドのセキュリティ共有モデル

※同形態のサービスでもCSPによって責任分界点の詳細や機能面が異なることがあります。

2.クラウドでも情報漏洩や不正アクセスは起こる

世間を日々賑わせている大規模な情報漏洩や不正アクセス。実は、クラウド上で起きているものが少なくありません(図3参照)。その多くは、「初期設定が”ユーザ認証不要”となっている一部のデータベースで設定を変更していなかった」ことが原因とされています。ほかには、「管理者のパスワードが容易に予測できるものだったことが原因で不正アクセスが発生した」ケース、「ユーザアクセスの監査が不十分だったために不正アクセスに気づかなかった」ケースなどが知られています。また、統合型コラボレーションツールの法人利用者に対する大規模なフィッシング攻撃も継続して確認されています。

1.でも触れたように、ユーザアクセスは、いずれのクラウド提供形態においても利用者側の責任となるため、設定の確認やユーザアクセスの監査・分析といった運用面での対応は極めて重要といえます。また、併用しているサービスがある場合は、その設定についても十分な確認・管理が必要です。

図3:クラウド上でのセキュリティ事故・事件


【参考情報】

クラウドコンピューティングにおけるセキュリティの代表的な脅威については、業界団体から右記のようなランキングも公表されています。採用サービスや利用状況により該当しない項目もあるかもしれませんが、動向として押さえておくことをお勧めします。

出典:CSAジャパン「クラウド重大セキュリティ脅威~11の悪質な脅威」
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2019/10/top-threats-to-cloud-computing-egregious-eleven_J_20191031.pdf


クラウドのセキュリティ確保に向けて

では、企業や組織は何を手がかりにクラウド上のセキュリティを確保していけばよいのでしょうか。ここでは、主な具体策を3つご紹介します。

クラウドセキュリティ確保のポイント

1.CSP選択の指標を持って適切なCSPを選ぶ

現在、内閣府や経済産業省が中心となり「政府情報システムのためのセキュリティ評価制度(ISMAP)」の策定が進んでいます。その一環として、2020年秋以降(予定)、CSPは登録監査機関によるセキュリティ監査を受け、同評価制度の要求事項を満たすことが必須となる見込みです。自社・組織において、政府情報システムと同等のセキュリティが必要になるとは限りませんが、今後、このISMAPによるCSPの評価結果を、CSP選択の指標の1つとして活用できるようになる可能性があります。

2.クラウドを含むセキュリティにかかわる人材を育成・確保する

セキュリティにかかわる人材の育成・確保は、今日、多くの企業・組織で喫緊の課題となっています。クラウド化の推進にあたっては、契約条件やサービス提供条件の精査、実際の構築におけるセキュリティ要件設定、運用面での手順やエスカレーションのプロセスの設定など、多岐にわたる対応が必要になります。クラウドも対象に含めたセキュリティ人材の育成・確保を推進していくことは、「新しい生活様式」を見据えた今後の組織運営を支えるセキュリティ基盤の強化に大きく寄与するでしょう。

3.クラウドのセキュリティ設定を客観的基準により評価する

実際にクラウドサービスを利用し始めて以降は、自組織のクラウド環境の設定を客観的な方式で確認・評価することが欠かせません。そこで役立つのが、信頼できる第三者機関が提供するツールやリソースです。例えば、非営利の業界組織であるCenter for Internet Security(CIS®)が手掛ける「CISベンチマークテスト」は、ITシステムおよびデータをサイバー攻撃から守るためのセキュリティ設定基準として国際的に認知されています。このベンチマークテストの基準を満たすことにより、自組織のクラウド環境の健全性をグローバル水準で確認できます。また、同じく非営利の業界組織であるクラウドセキュリティアライアンス(CSA)では、日本支部によって和訳された各種ガイドラインを逐次提供しています。自組織の環境の安全性をより高めていく上で、こうしたツールやガイドラインの活用も重要なポイントになります。

なお、既存のシステムをクラウドへ移行する場合には、業務プロセスの見直しやシステム要件の再定義なども必要になります。オンプレミス環境とは異なる環境への移行となることから、当然、前例踏襲主義では対応できません。「新しい生活様式」への行動変容が求められ、オフィスから在宅勤務へという大きな流れが進む中、システムの刷新においても、従来にない考え方や技術を積極的に検討し、取り入れていく姿勢が求められています。

「危機はまたとない変革のチャンス」と言われます。今、コロナウイルスによって大きく加速されたクラウド化の波に乗り遅れては、そのチャンスを逃してしまうかもしれません。前向きな意思決定で、より強いシステムの実現に向けた取り組みを推進していきたいものです。

BBSecでは、2020年6月現在、クラウドセキュリティ診断サービスを実施しています。前述のCISベンチマークテストのほか、主要クラウド環境におけるベストプラクティスに基づく評価や、クラウド環境上でお客様が用意されているプラットフォームの診断(オプション)も可能です。ワンストップで幅広いサービスをご利用いただけます。

「withコロナ」フェーズ下の業務環境を支える各種セキュリティチェックリスト

新型コロナウイルス感染症拡大に伴い利用が急増しているG SuiteやMicrosoft 365については、セキュリティのチェックリストや推奨設定例が公開されていますので、以下にご紹介します。


G Suite
Googleからセキュリティチェックリストが提供されています。自社・組織の規模や要件を踏まえたセキュリティ対策の実装に役立ちます。
小規模事業者向け(~100人):https://support.google.com/a/answer/9211704
中・大規模事業者向け:https://support.google.com/a/answer/7587183?hl=ja

Microsoft 365
MicrosoftからMicrosoft 365 Business向けのセキュリティチェックリストが公開されています。
Microsoft 365 Business向けチェックリスト:https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/secure-your-business-data?view=o365-worldwide

米CISAからもMicrosoft Office 365のセキュリティに関する推奨策が公開されています。
米CISAによる推奨策:https://www.us-cert.gov/ncas/alerts/aa20-120a

また、日本ネットワークセキュリティ協会(JNSA)では緊急事態宣言解除後の「withコロナ」フェーズへの対応へ向けたセキュリティチェックリストを提供しています。
https://www.jnsa.org/telework_support/telework_security/index.html
同協会のWebサイトには、加盟各社から提供されているテレワーク支援プランを取りまとめたページもあり、「withコロナ」フェーズへ対応に向けた取り組みの検討に活用できます。
https://www.jnsa.org/telework_support/index.html


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長【後編】

Share

脆弱性診断に携わる傍ら、セキュリティ人材の育成や情報配信、提言活動の中心的な役割を果たされてきたScanNetSecurity編集長 上野宣氏に、昨今セキュリティ事情を率直に語っていただいたインタビュー。後編をお届けする。

(聞き手:田澤 千絵/BBSec SS本部 セキュリティ情報サービス部 部長)

前編→


実はそこにあるリスク

━━ネットワーク脆弱性診断の場合は、暗号化周りの脆弱性が割と多く検出されます。攻撃で実際に狙われる可能性はどのくらいでしょうか。

上野:脆弱性の中では比較的対応に余裕が持てるタイプと言えます。しかし、長い目で見ると、暗号アルゴリズムの問題によって解読されるとか、中間者(Man-in-the-Middle)攻撃をされるといった危険は否めません。リプレイス等のタイミングで、アルゴリズムの見直しや最新プロトコルへの対応をタスクに入れた方がいいです。

━━例えば金融系の企業ですと、PCI DSS(Payment Card Industry Data Security Standard:クレジットカード業界のセキュリティ基準)に準拠しなければなりませんが、一般的にはコンプライアンス面で準拠必須な規定がありません。

上野:強制力があるものはないですね。OWASPもASVS(Application Security Verification Standard:アプリケーションセキュリティ検証標準)を出してはいるのですが。

━━GDPR(General Data Protection Regulation:一般データ保護規則)も今はあまり話題に出ませんね。

上野:結局、国内でビジネスしている企業にはあまり関係ないとか、せいぜいサードパーティCookieの扱いに注意するくらいだということで。一時期より騒がれなくなりましたね。

━━日本で強制力がある法律と言ったら個人情報保護法くらいでしょうか。

上野:攻撃されたことに対して開発会社が訴えられたことがありましたね。2014年だと思いますが、開発会社がちゃんとセキュリティを担保しなかったという理由で負けて、損害賠償金を支払うことになった。

開発会社は、きちんとした倫理観を持って自分たちが良いと認めるものを納めることが必要です。自転車だったらちゃんと規格があるのに。国際団体がWebアプリケーションの品質保証みたいなものを決めてくれたらいいのですが。

━━Webアプリケーション開発を依頼する際、開発会社にセキュリティを担保してもらうにはどうしたらいいでしょう。

上野:お勧めは、私などが作ってOWASPのセキュリティ要件定義書ワーキンググループで出している 要件定義書です。

依頼側は、内容がわからなくてもいいから、これをそのまま持って行って、「これを作れますか」「これが大事だと言われたが、説明してもらえますか」という問いに対して話ができる開発会社を選ぶ。そうでない開発会社はやめたほうがいい。依頼企業がこのドキュメントを使ってくれるようになるといいなと僕は思いますね。

「これを守ると高くなりますよ」っていいように言われるんですけどね。「高くなる」って誰が言い始めたんですかね。セキュアに作るか、作らないかであって、高い部品が要るわけでもないのに。

━━対応できる技術者が高いんですかね。

上野:高くはなるでしょうね。でも、そこぐらいでしょ。安い人にお願いした結果ハリボテが出てきたら、それはユーザが騙されていることになる。

━━実際にセキュリティ要件に即した開発になっているかの見極めはどうしたらいいでしょう。

上野:受け入れテストで脆弱性診断を実施するといいでしょう。欠陥住宅の事件があった時、住宅を鑑定する資格を持った人がクローズアップされましたよね。部材が入っているか、接着剤がどうか等を専門的に見てくれる人。受け入れテストはそういった観点で重要なんじゃないかと。普通にアプリケーションを何回も見たって、機能がちゃんと動いているくらいしか確認できないですよね。キッチンにコンロが三つあります、火がつきますくらいしか分からないのと一緒です。だから、ちゃんとプロの目で見極める必要があると思います。

━━ネットワークの場合はいかがですか。特に、オンプレミスでネットワーク環境を構築する際に社内ネットワークの診断をやる企業は……

上野:社内LANのリソースに対して実施する企業は、ほぼ皆無だと思います。で、サポートが切れたWindowsサーバがまだ動いていたりします。「イントラネットだから別にいいですよね」とよく言われます。それが脅威だと思われていないのが脅威かなと思います。

リスクの算出方法として、「脅威の大きさそのもの」ばかりでなく、「発生する確率」という要素もあるため、例えば、同じ脅威でもインターネット上より、内部ネットワークの方が発生確率は低い、ということになります。しかし、もう一つ別の要素として、機密性や可用性との兼ね合いである「資産の価値」を考えてみます。例えば、インターネットにある僕個人のブログと社内LANにある機密情報入りのサーバを比べたら、今度は当然、後者が守られるべきとなるでしょう。掛け算していくと、最終的に逆転することがあるはずです。

━━当社もよくお客様に、「うちのWebサイトは個人情報扱ってないから診断は必要ない」と言われます。

上野:重要な情報があるか否かという判断軸になりがちですが、実は攻撃者が欲しいものとして、そのサーバ自体の信頼度がある。そこを踏み台にすると便利、という観点。私も侵入するときに踏み台をよく使います。乗っ取られた結果、次に乗っ取られる先、次に攻撃される先が出てきます。自分たちのオフィスの中に攻撃者を招き入れた結果、自分たちが加害者となって攻撃が行われる。それは駄目ですよね。

━━絶対に守らなければならないものと、リスクを多少許容してもかまわないものの切り分けができていないケースが多いように思います。

上野:リスクアセスメントが必要ですね。まず、何の資産があるかを知ることじゃないでしょうか。物理的、電子的、無形物、色々あると思う。何を守らなきゃいけないかをまず洗い出す必要がある。

━━業務におけるセキュリティというのはどうでしょう。棚卸をするにしても、セキュリティを考慮しながら業務する企業は実際には少ないと思っています。重要情報をそれと認識していなかったり。

上野:そこは、教育をしなきゃいけないと思います。上場企業だと全社員が受けるインサイダー情報のトレーニングがありますね。何を言っちゃいけなくて、何を漏らしちゃいけないのか。「これ重要だよね」という感覚は人によって全然違うので、それは企業が見解として示さなくてはいけない。

━━従業員のセキュリティ教育はどれぐらいの頻度で十分だと思いますか。

上野:最初は結構頻繁にやるべきだと思います。というのは、セキュリティにいちいち気をつけていたらしんどいので、企業の文化として根付くまで浸透させなくてはいけないからです。それ以降は、年に1度とか、追加教育を思い出したようにやるとか。人はどんどん忘れていきますので。

どうなるリモートワークセキュリティ元年

━━セキュリティは自然災害によっても変わりますし、流行り廃りもあります。今後1~2年はどういったことが予想されるでしょう。

上野:やはりリモートワーク絡みのセキュリティ問題が噴出するんじゃないでしょうか。自分のPCから漏れる、会社に侵入される、リモートワークのツールがフィッシングに悪用される、とか。今年は「リモートワークセキュリティ元年」かもしれないですね。

━━リモートワークセキュリティ元年!いいですね、それ。APTはどうでしょう。これからも減ることはないのではないかと。

上野:信用しやすくなるという観点だと、個人のPCに侵入する手口として、その人と仲良くなった後、オンラインミーティング系のツールだと偽ってインストールさせるのがますます増えるでしょうね。例えば相手に、「うちの会社、このツールじゃなきゃ駄目なんだよ。今日これから会議だから、すぐ入れてくれない?」って言われたら、絶対インストールするでしょ。しかもユーザは気づいてないかもしれない。僕もペネトレーションテストで使う手です。

━━あと、今まで注目されていなかったシステムや環境が注目されるとか。例えば、Zoomは爆発的にユーザが増えましたよね。脆弱性がこれまで一切出てこなかったツールで、今後はうじゃうじゃ出てくる、というような。

上野:今まで誰も調べていなかったのに、急に流行ったツールの宿命だと思います。Zoomはニュースにも取り上げられましたが、逆にすごくセキュリティに前向きな会社という印象を抱いてます。バグバウンティのプログラムも始めた。相当自信がないとできないことです。Zoomはこの3ヶ月~半年ですごくセキュアになると思います。

━━SNSはどうですか。システム自体というより、攻撃の入り口として利用されるとか。

上野:こんな中、LinkedIn等を利用して転職を考える人もいると思います。SNS経由でどこかを装って送られてくるっていうのは、非常に多そうですね。僕にもよく「パスワード漏れましたよ」って来ています。「あなたのSNSを半年前から見ています」というようなのです(笑)。

━━従業員がバラバラな場所で仕事をしている今、企業としてどのようなサポートをするのが、セキュリティの維持につながるでしょうか。

上野:リモートワークでも何でも、必要な環境を企業が提供することが大事です。ユーザ任せではいつか破綻します。特にPCと、中に入っているソフトも管理できる状態にするのが大切。自宅のルータやネットワークの問題は、そこまで大きな脅威ではない。やはりコンピュータ自体が安全であることが一番だと思います。繰り返しになりますが、リモートワークは今後増えることはあっても絶対なくならないので、従業員分の予算をちゃんと確保していただきたいです。

ーENDー 前編はこちら


上野 宣 氏
株式会社トライコーダ代表取締役
ペネトレーションテストやサイバーセキュリティトレーニングなどを提供。OWASP Japan 代表、情報処理安全確保支援士集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、ScanNetSecurtity編集長などを務め、人材育成および啓蒙に尽力。『Webセキュリティ担当者のための脆弱性診断スタートガイド ? 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』ほか著書多数。

田澤 千絵
株式会社ブロードバンドセキュリティ(BBSec)
セキュリティサービス本部 セキュリティ情報サービス部 部長
黎明期といわれる頃から20年以上にわたり情報セキュリティに従事。
大手企業向けセキュリティポリシー策定、セキュリティコンサルを経て、現在は脆弱性診断結果のレポーティングにおける品質管理を統括。
メジャーなセキュリティスキャンツールやガイドライン、スタンダード、マニュアル等のローカライズ実績も多数。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長【前編】

Share

長年、脆弱性診断に携わり、セキュリティ人材の育成や情報配信、提言活動における中心的な役割を果たされてきた上野宣氏。ScanNetSecurity編集長として様々な取材もされてきた同氏に、この度、弊社よりセキュリティ事情について気になるあれこれをざっくばらんにお聞きする機会を得た。

(聞き手:田澤 千絵/BBSec SS本部 セキュリティ情報サービス部 部長)

後編→


リモートワーク環境のセキュリティ対策よもやま

━━新型コロナウイルス対策のため、様々な企業が急に追い詰められ、全然準備もできてないままリモートワークに踏み切ったところも多いと思います。セキュリティ上の問題噴出や、実際に侵害されたというニュースも目にしますね。

上野:私がコンサルしている会社で、比較的すんなりリモートワークに移行できた会社があります。元々は一切リモートワークを許可しておらず、VPNもなかったにもかかわらず、です 。そこは、いわゆるゼロトラスト*3 を体現していて、開発も含めビジネスを全てクラウド上で行っています。そういう環境を2年くらいかけて作りました。結果、PCを自宅に持ち帰ってもVPNなしでそのまま仕事ができる感じです。ゼロトラスト的なネットワークがちゃんと作れれば全然問題なく移行できることが、今回はっきりしたと思いました。

でも、ほとんどの会社はそういうわけにいかず、おそらく全て会社のイントラネット上にある。例えばActive Directoryやファイルサーバ。デスクトップに色々なファイルや開発ツールがあったり。

━━では、ゼロトラストでなく従来型のネットワークの場合は、どうすれば安全にリモートワーク環境に移行できるでしょうか。

上野:やはりVPNでしょう。ただし、VPNサーバがだいぶ前に設定されたままだったり、プロトコルが古かったり、IDとパスワードを共有していて誰が接続したかわからなかったり、といった問題に注意しなければならない。それに、全社員が接続できるVPNサーバとなると、急には対応できない会社が多いと思います。

なので、AWS、Google等のクラウドを利用してVPNサーバを立て、そこを回線として接続するのがいいでしょう。結構安く、早くできると思います。

━━AWS利用の場合、責任分界点と言いますか、クラウドサービスベンダが担保してくれる部分と、ユーザが行わなくてはならないセキュリティ対策がありますよね。どう注意したらいいでしょうか。

上野:CISなど、公開されているベストプラクティスを参照していただくのがいいでしょう。ちまたに溢れている個人のブログを漁って調べるという手もありますが、ちゃんと知識を持ったセキュリティベンダにサポートしてもらうのが一番です。わからないのを自分たちで何とかするのではなく、会社の資産を守る大事なところですので、補正予算を組み会社をあげて緊急でやるべきです。

━━コロナウイルス対策で生産性が落ちている会社もある中、追加でセキュリティ費用を捻出するのは難しいと想像しますが……

上野:経営者がどう捉えるかですね。逆に、「オフィスいらないな」と考える経営者もいるわけで、その分リモートワーク環境に投資することもあると思うんです。今まで手間かけて机と椅子を用意していたのは何だったの、みたいな。このままコロナの問題がゼロになることはないでしょうから、いかに早く環境を整えるかが、ビジネスで勝つために重要ではないでしょうか。

━━先ほど上野さんがおっしゃったゼロトラストネットワークを実装する場合は、アクセス制御辺りが肝になりますか。

上野:ID管理をしっかりしなくてはいけません。ゼロトラストを体現するためにIDaaS(アイディーアース:Identity as a Service。ID管理をクラウドで実施するサービス)を導入することで、アカウント管理をユーザ任せにせず、組織が管理する。海外だと、CISOのような感じでIDを管理する専門の役職もあると聞いたことがあります。

━━従業員に対しては、どのような注意をしておけばいいでしょうか。

上野:パソコンは共有のものを使わない。ルータも最新のものを使う。人目につく公共の場では作業を行わない。あと、OSとアプリケーションのアップデート。昔から言われていることと同じです。 IPAが出している注意喚起は、割と簡潔で分かりやすいですね。

━━自宅環境でのリモートワークにあたり、環境を全て用意できない会社もあります。会社支給のPCでなく、自宅のPCを使用する場合の注意点は?

上野:まず脅威として考えられるのは、マルウェア感染とか、攻撃者による遠隔操作とかですね。会社の重要情報をPCに置いてしまうと、盗まれる可能性が出てくる。さらに、会社にVPN接続するとか、会社の何らかのサービスにアクセスするとなると、そのIDやパスワードも盗られて中に侵入される危険性もある。

もちろん、会社支給のPCならそういった事態が起きないというわけではありませんが、可能性は低い。資産管理ツールが入っていて余計なアプリケーションがインストールできないといった、ある程度の対策できるはずですから。

━━あと、懸念されるのはフィッシング系でしょうか。コロナウイルスに便乗したメール詐欺が増えています。

上野:東日本大震災の時もそうでしたが、緊急事態があると、広く人々に関係のある事象が増える。例えば、コロナ対策で政府からの給付金をもらうために手続きがオンラインでできます、となると、「俺、関係あるな」となる。攻撃者は騙しやすいポイントをすかさず利用してきます。

対策としては、許可されていないアプリケーションをインストールしないようにするとか、すべて疑ってかかるよう教育するとか、でしょうね。

脆弱性診断ホンネトーク

━━上野さんご自身も、普段ペネトレーションテストや脆弱性診断を実施されていますが、当社のシステム脆弱性診断では、高リスク(当社基準)以上の脆弱性の検出が全診断件数の3割ほどにのぼります。この現状をどう思われますか。

上野:脆弱性診断には相当長いこと関わっていますが、「全く世の中改善しないな」と思っています。僕らのアプローチが間違っているんじゃないかと思うぐらい。毎回、同じような脆弱性が出るし。

ここ何年か、「興味がない人に、いかにセキュリティを届けるか」という僕のテーマがあるんですが、非常に難しい。だから、そういう人たちが意識しなくてもできるようにしなければいけない。例えば、Webアプリケーションでクロスサイトスクリプティングを直すのはプログラマではなく、フレームワークとかAPIを使うことで誰が作っても安全なものになるような環境にしていく。もちろん、セキュアコーディングというものが消えるわけじゃないが、たとえそれを知らなくても安全なものを作れる仕組みのほうが、僕は必要だと思っています。

あとはWAF(Web Application Firewall)も含めて、全方位で担保できるもの。どんなひどいプログラムを書いても大丈夫なように、プラットフォームとかフレームワークとかWAFとか、各レイヤでなんとかできるようにするのがいい。

━━1つの対策だけじゃ守りきれないですから、多層防御は重要ですね。怖いのはゼロデイの脆弱性が見つかった時じゃないですか?

上野:ゼロデイ攻撃がわかってからパッチが適用されるまでの間は、Webの場合はWAFで防御できる可能性もあります。セキュアコーディングでは対応できないかもしれないし、フレームワークのアップデートを待っていたら攻撃される恐れもあるので。

フレームワークやライブラリのバージョン管理も大切です。そのためのOWASP Dependency Checkというツールなどがあります。

━━バージョン管理が徹底されていない会社はとても多いです。環境によってはアップデートできないというお客様もいらっしゃり、そうなると多層防御で、WAFやIPS/IDS入れてください、となると思います。

上野:我々診断業界も変わらなきゃいけないかもしれないです。診断の結果、クロスサイトスクリプティングが出たことだけ言うのでなく、出ないようにするには業務をこう変えなくちゃいけないですよ、と。我々もクロスサイトスクリプティングを見つけるの、飽きたじゃないですか(笑)。

そもそも最低限クリアしてしかるべきセキュリティレベルがあって、その上で脆弱性診断を受けてほしい。他の業界でもそうじゃないですか。安全な車を作った上で衝突テストをやるからいいのであって、適当に作った車で衝突テストしたってバラバラになるに決まってるじゃないですか。安全基準どおりのフレームワークで作った上で、「絶対安全なはずだけど念のためテストしてほしい」となるのが、脆弱性診断の本来あるべき姿だと思います。

━━同じ組織内でポリシーが定まっていない場合もあります。例えば、グループ企業同士を診断したら、A社はセキュリティの堅牢なシステムなのに、同じグループ傘下のB社は穴だらけだった、というような。

上野:そもそも共通のルールやフレームワークがない組織が多い。でも、今後作るものについてだけでも対応していけば、5年後には良くなっているかもしれない。たとえ現状を変えるのは難しくても未来は変えられると思うので、そこは考えていただきたいですね。これを機に、リモートワークを適切に推進して、セキュリティ対策を「コストではなく投資だ」と言える会社が生き残っていくのではないでしょうか。

ー後編へ続くー

<関連情報>コラム「ゼロトラストアーキテクチャ」とは?


話し手 / 上野 宣 氏
株式会社トライコーダ代表取締役
ペネトレーションテストやサイバーセキュリティトレーニングなどを提供。OWASP Japan 代表、情報処理安全確保支援士集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、ScanNetSecurity編集長などを務め、人材育成および啓蒙に尽力。『Webセキュリティ担当者のための脆弱性診断スタートガイド - 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』ほか著書多数。

聞き手 / 田澤 千絵
株式会社ブロードバンドセキュリティ(BBSec)
セキュリティサービス本部 セキュリティ情報サービス部 部長
黎明期といわれる頃から20年以上にわたり情報セキュリティに従事。
大手企業向けセキュリティポリシー策定、セキュリティコンサルを経て、現在は脆弱性診断結果のレポーティングにおける品質管理を統括。
メジャーなセキュリティスキャンツールやガイドライン、スタンダード、マニュアル等のローカライズ実績も多数。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

クラウドセキュリティの必要性とは?

Share

クラウドを導入する企業が過半数を超え、政府もAWSの導入を決めるなどクラウド利用の普及が進んでいます。AWS、Azure、GCPなどのクラウドサービスの代表例と、クラウド導入のメリットと不安、セキュリティの要件と担保する方法を解説します

日本の各企業でも、クラウドサービス(クラウド)の利用が進んできましたが、ハードウェアを自社内やデータセンター等の設備内に設置する「オンプレミス」と比べ、セキュリティに対する漠然とした不安の声もあります。導入担当者やセキュリティ担当者は、クラウドのセキュリティを確保していく必要があります。

この記事では、企業で活用されているクラウドサービスを例示しながら、「クラウド」「SaaS」「PaaS」「IaaS」「オンプレミス」などクラウド関連の用語を解説します。またクラウドサービスのメリットや懸念点を挙げた上で、最後にクラウドセキュリティについて論じます。

クラウドサービスとは

 クラウドサービスとは、ソフトウェアやサーバ、インフラなどを製品としてではなくサービスとしてクラウド事業者が提供するものです。これまでのソフトウェアやサーバの調達と異なり、利用者はサブスクリプション形式で利用料を支払い、クラウド上にあるリソースをサービスとして利用します。

クラウド(cloud)という名称は、ネットワークの模式図上で雲のような形状で示されるところからきました。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

サーバを事業所内に設置するような利用形態「オンプレミス」という用語は、「クラウド」の対義語のように使われていますが、英語のon-premiseの本来の意味合いは「敷地内の」というものです。

なおクラウドサービスを分類すると、3つの主要サービスがあります。具体的なイメージを掴めるよう、法人で幅広く使われているクラウドサービスを挙げながら紹介します。

SaaS(Software as a Service、サース、サーズ)

Gmail(Webメール)、Microsoft Office 365(オフィスソフト)、Dropbox(ストレージ)、Slack(チャット)などのサービスがあります。一般ユーザが使用するアプリケーションをサービスとして提供します。

IaaS(Infrastructure as a Service、アイアース、イアース)

利用者が選択したスペックやOSに合わせた、仮想的なマシン(インフラ)を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。

たとえばWebサービスを顧客に展開するときに、Webサーバとして活用するケースがあります。Amazon Elastic Compute Cloud(Amazon EC2)、Azure Virtual Machines、Google Compute Engine(GCP)といったサービスがあります。

PaaS(Platform as a Service、パース)

IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームがPaaSです。さまざまなサービスがありますが、たとえばAWSのAmazon Relational Database Service(Amazon RDS)では、主要なリレーショナルデータベース(RDB)をサポートします。また、GCPのGoogle App Engine(GAE)は、JavaやPythonなどで開発したアプリケーションをGCPのインフラ上で簡単にデプロイ、管理できるようになっています。

CaaS(Container as a Service、カース)

コンテナ技術を用いると、例えば開発用、本番用といった異なるサーバやOS間で同一の環境を持ち運べるなど、効率的なアプリケーション開発が実現できますが、複数のコンテナを組み合わせた大規模な環境では、それらを運用、管理するのに手間がかかります。CaaSは、複数のコンテナ利用に必要なオーケストレーション機能(管理/サポートする機能)を多数提供し、開発業務のさらなる効率向上を可能にします。代表的な例には、Docker、GKE(Google Kubernetes Engine)、Amazon ECS(Elastic Container Service)、VMware PKSなどのサービスがあります。

なお企業向けのクラウドセキュリティの議論はIaaSやPaaSを対象にしたものが中心です。これは、SaaSのセキュリティ管理は、クラウド事業者とサービサーが担うため、企業側で対応する余地があまりないためです。この記事でも、特に断りのない限りIaaSやPaaSを念頭に説明を進めていきます。


日本政府もAWSを導入!クラウド活用する日本企業は6割に

2020年2月、政府が「政府共通プラットフォーム」にAWSを利用する 方針であることを発表しました。政府が採用を決める前から、企業でもクラウド利用が広がっています。以下は、総務省の通信利用動向調査の結果です。クラウドを全社的または一部の部門で活用する日本企業は毎年増え続け、2018年には58.7%に上っています。

国内におけるクラウドサービス利用状況


出典:総務省「平成30年通信利用動向調査の結果(令和元年5月31日公表)


クラウドサービス導入のメリット

ピーク性能に合わせて購入するのが一般的なオンプレミスと比べ、クラウドでは必要な時に必要なスペックで サーバやソフトウェアの契約を行うことが可能です。

1.どこからでもアクセスできる

WebメールやオンラインストレージといったSaaSを利用している場合、どこにいてもインターネットがあればアクセスできます。

2.負荷に応じて動的にシステム変更可能

アクセスの増減に合わせて、Webの管理ツールを操作するだけで、サーバを追加したり削減したりできます。オンプレミスと比べ、変更にかかる時間を大幅に短縮できます。 TVで取り上げられた場合などに発生する、突発的なアクセス増にも柔軟に対応可能です。

3.開発者が多くどんどん便利になっている

利用が急拡大しているグローバル規模のクラウド事業者は、世界中から優秀な開発者を集めており、次々と機能追加が行われています。


クラウドサービスに対する4つの不安

1.情報漏えいリスク

どこからでもアクセスできて便利な反面、オンプレミス環境のように手元に情報を保持していない分、漠然とした不安や、攻撃対象になりやすいのではないかといった懸念があります。こうした懸念に応えるセキュリティ対策については後述します。

2.システム稼働率や法規制対応

クリティカルなサービスを提供する企業では、稼働率などを保証するSLA(Service Level Agreement)や、冗長構成を必要とする場合があります。また、クラウドサービスの利用にあたり、社内の基準やコンプライアンス、業界基準、国内法に準拠している必要があります。

これらの不安に対応して、AWSなど大手のクラウドサービスではSLAや第三者機関から取得した認証など、各種基準への対応状況を公表しています。

3.従量課金による費用変動

クラウドサービスの課金体系には、月額・日額の固定料金制もあれば、従量課金制もあります。利用形態によっては、オンプレミス環境を用意したほうが安価な場合もあります。システム利用計画を建ててから契約しましょう。

4.カスタマイズやベンダーのサポート体制

クラウド事業者は複数の顧客に共通のサービスを提供することで。オンプレミス環境と同様のカスタマイズやサポートは望めない場合もあります。


クラウドサービスのセキュリティ対策

クラウドサービス提供者側のセキュリティ要件として、たとえば総務省では「クラウドサービス提供における情報セキュリティ対策ガイドライン」を提供しています。

クラウド事業者は施設の物理セキュリティや、ネットワークなどのインフラのセキュリティに責任を持ちますが、利用者側にもネットワーク周りの設定や管理アカウントの管理などの対策が求められます。

クラウドの設定ミスに起因するインシデント事例

AWSに置かれていた、米ウォールストリートジャーナル紙の購読者名簿220万人分が、第三者による閲覧が可能な状態になっているという事故がありました。これは、利用者側の設定ミスに起因するものです。

オンプレミス環境ではサーバを直接操作する人は限られており、サーバルームの入退室記録簿等々、事故が起こらないようにさまざまなルールや、それを守る体制がありました。しかしクラウドでは、前述したようにどこからでもアクセスして、Web管理ツールで簡単にシステムを変更できるという利点が、逆に事故につながる場合があります。

クラウドのセキュリティを担保する方法は?

ひとつは、クラウドサービスの設定に関わるベストプラクティス集を利用することです。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

もうひとつは、クラウドの設定にセキュリティ上の問題がないか診断するツールの利用が挙げられます。実用するには一定の習熟が必要で、たとえば出力された多数の脆弱なポイントについて、どこを優先して対処していくかの判断が求められます。セキュリティ企業が提供する診断サービスを利用する方法もあります。パブリッククラウドの設定にリスクがないか専門家が診断します。


まとめ

・クラウドのセキュリティは、クラウドサービスの提供側と利用者側双方で担保する
・提供側はインフラ等のセキュリティに責任を負う
・利用者側はセキュリティ、ネットワーク、アカウントなどの設定・管理を適切に行う
・利用者側の対策として、ベストプラクティスの活用、自動診断ツール、セキュリティベンダーの提供するサービスの利用がある


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

動画でわかるセキュリティ対策

Share

いまや基幹業務に不可欠な「セキュリティ対策」。スキマ時間に動画でキャッチアップしませんか?弊社サービスや、最新セキュリティ動向をご紹介します。

ランサムウェア感染リスク
可視化サービス

再生時間:05:41
関連情報:ランサムウェア対策総点検
【資料ダウンロード】

デイリー自動脆弱性診断
-Cracker Probing-Eyes®-

再生時間:01:59
関連情報:デイリー自動脆弱性診断 -Cracker Probing-Eyes®-


クラウド環境における
セキュリティの重要性

再生時間:05:00

※2019年度セミナー資料



“他山の石”の拾い方 -セキュリティのトレンドをキャッチアップ-

再生時間:05:00

※2019年度セミナー資料

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

診断結果にみる情報セキュリティの現状

Share

SQAT® Security Report 2020年春夏号

2019年下半期 診断結果分析

BBSecの診断について

当社では、Webアプリケーション、ネットワーク(プラットフォーム)、スマホアプリ、IoT、パブリッククラウド、ソースコード、標的型攻撃に対するリスク可視化等、様々な局面における診断サービスを提供することで、お客様のニーズにお応えしている。

当社の脆弱性診断サービスは、専門技術者による高精度の手動診断と独自開発のツールによる効率的な自動診断とを組み合わせ、検出された脆弱性に対するリスク評価について、右表のとおりレベル付けしている。お客様のシステム特性に応じた脆弱性の検出、リスクレベルの評価、個別具体的な解決策の提供が適切に行えるよう、高い頻度で診断パターンを更新し、診断品質の維持と向上に努めている。

2019年下半期診断結果

当社では、2019年7月から12月までの6カ月間に、14業種延べ537企業・団体、4808システムに対してシステム脆弱性診断を行った。情報セキュリティ対策に重きを置く企業・組織側の姿勢もあり、診断案件数は年々増加している。脆弱性の検出率は次ページのとおりである。

診断の結果、Webアプリケーション診断では、脆弱性が検出されたシステムが全体の81.5%と、前年同期(2018年下半期)の84.9%に比べて微減しているものの、依然として高い割合である。ネットワーク診断においては、脆弱性検出率はシステム全体の47.8%であり、2017年下半期以降、減少傾向にあるが、およそ半数のシステムに何らかの脆弱性が検出されている。

検出された脆弱性のうち、早急な対処が必要な「高」レベル以上のリスクと評価された脆弱性は、Webアプリケーションでは26.9%、ネットワーク診断では30.4%検出されている。前年同期比(2018年下半期「高」レベル検出率:Webアプリケーション27.6%/ネットワーク診断 17.8%)でいうと、Webアプリケーションはほぼ横ばいだったが、ネットワークは12.6ポイント増えておりリスクレベルの高い脆弱性が増加傾向にある。当サイトでは、 「2019年下半期カテゴリ別脆弱性検出状況」とし、当社診断で検出された脆弱性を各性質に応じてカテゴライズし、評価・分析をした結果をまとめた。以降、診断カテゴリごとに検出数が多かったものの中から、特筆すべきことに焦点を当ててリスクや対策を述べる。

Webアプリケーション診断結果

Webカテゴリ結果の31.4%を占める「システム情報・ポリシーに関する問題」のうち、最も検出数が多かったのは、「脆弱なバージョンのOS・アプリケーションの使用」である。脆弱なバージョンのOS、アプリケーションを使用している場合、既知の脆弱性の影響を受ける可能性がある。最新バージョンへのアップデートが望ましいが、システム環境における制約等の理由でバージョンアップができないのであれば、必要なセキュリティパッチがすべて適用されていることを確認すべきである。

次にWebカテゴリ結果の検出割合が多かったのは、19.7%を占める「セッション管理に関する問題」。最も検出されたのは、「不適切なセッションタイムアウト」であった。ログインセッションのタイムアウト値が適切に設定されていないと、長時間操作を行わずアイドル状態のままでもセッションが維持されることから、セッションハイジャック等の攻撃が成功する確率が高まるほか、サービス運用妨害(DoS)攻撃につながる可能性もある。セッションタイムアウトは、Webアプリケーションのデフォルト設定として一般的に採用されている30分が望ましいが、ユーザビリティを考慮してタイムアウト値を長くする場合は、追加のリスク緩和策を講じることが推奨される。

ネットワーク診断結果

NWカテゴリ結果の52.3%が「通信の安全性に関する問題」であった。なかでも、「推奨されない暗号化方式の受け入れ」(検出割合は右表を参照)の検出数がトップであり、第2位の「推奨されないSSL/TLS通信方式の使用」と比べて2倍以上の差がある。

サーバがブロック長64ビットのブロック暗号をサポートしている場合、誕生日攻撃(birthday attack)を介して長い期間暗号化されたセッションを復号・解読される「SWEET32」と呼ばれる攻撃の影響を受ける可能性がある。「NVD(National Vulnerability Database)」などに本脆弱性の影響を受ける製品は公表されており、ベンダからも正式な対策が公開されていて、ベンダ情報を参照のうえ対策することが望ましい。

SSL/TLS通信において、強度の低い暗号化方式(RC4、3DESなど)が許容されていると、既知の脆弱性を悪用した攻撃(平文回復攻撃など)により、攻撃者に暗号化されたデータが解読される危険性がある。また、強度が低いハッシュアルゴリズム(SHA-1など)が許容されていると、衝突攻撃に弱くなり証明書の偽造等が可能となる恐れがある。鍵長が128ビット未満の暗号方式については、総当り(Brute-Force)攻撃への耐性が低く、中間者(Man-in-the-Middle)攻撃などの標的になりうる。強度の低い暗号化方式やハッシュアルゴリズムは使用を停止し、SSL/TLSによる通信の保護には鍵長が128ビット以上の暗号化方式を実装するべきである。SSHプロトコルにおいても、攻撃者に暗号文を解読される恐れがあるため、脆弱な暗号化方式およびハッシュアルゴリズムを許容しないことが望まれる。

カテゴリ別の検出結果詳細についてはこちら


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

クラウド環境におけるセキュリティの重要性

Share

SQAT® 情報セキュリティ瓦版 2019年10月号

利便性+αで求められるセキュリティ意識

その利便性の高さからクラウドが広く普及しています。いまや既存システムのクラウド環境への移転、リニューアル化は時代の潮流といって良いでしょう。一方で、サーバ運用においてインシデントが発生してしまった場合、なりすましやDDoS攻撃などによって様々な面で大きな被害を受ける恐れがあります。現実にサーバ運用のトレンドになっているクラウド環境では、その利便性に潜む罠によって、近年いくつもインシデントが発生しています。クラウド環境を利用するために重要な「リスクの可視化」についてお伝えいたします。


アメリカ金融大手で1億人を超える情報漏洩

2019年7月、米金融大手Capital Oneは、外部の第三者から不正アクセスを受け、1億件を超える大規模な個人情報漏洩があったことを公表しました。*1 ただし、流出した個人情報(右記、表1参照)を悪用した事例は、9月時点で確認されていないとのことです。

今回のインシデントはAWS(Amazon Web Services)環境下で発生しましたが、そこで同社は以下の点を主張しています。

基盤システムへの侵害はない
●クラウド特有の脆弱性ではない
●対応の早さはクラウド利用の恩恵

 

 

SSRF攻撃の概要

 

インシデントから浮上した問題点

Capital Oneのシステム環境における問題点は、WAFの運用上の設定ミスにより、SSRF攻撃(図1参照)を検知できなかったこと、サーバ上のデータに対するアクセス制御が不十分だったこと、データ奪取に気づけるモニタリングを実施していなかったことが主に挙げられます。AWSはリスク軽減策としてツールを提供しており(上記、表2参照)、これを活用していれば、インシデントに繋がらなかった可能性も考えられます。

 

クラウド環境の利点と危険性

クラウドサービスは、高い利便性ゆえに増加を続けています。米Ciscoはホワイトペーパー*の中で、2016年には1年あたり6.0ゼタバイト 1) だったトラフィック量が、2021年には19.5ゼタバイトまで増加し、全データセンターのトラフィックに占めるクラウドデータセンターのトラフィック比率は、88%から95%へ増加すると予想しています。こうした増加の理由は、クラウド環境が自社設備内で情報システムを管理・運用するオンプレミス環境と比べて、コスト面、運用面での利点があるためと考えられます。一方で利点に対して危険性があることも理解しなければなりません。

1. 自社内にオンプレミス環境を用意する必要がない
 →外部委託することにより、他社環境に依存することになる
2. 仮想化されたリソースの配分自由度が高い
 →従量課金のため、使いすぎると高コストになる
3. 構成するソフトウェアの独自開発が不要
 →構成するソフトウェアがオープンソースのため、攻撃者に解析されやすい

一度攻撃を許してしまえば、情報漏洩、DDoS攻撃によって、莫大な費用損失が発生し、企業のビジネス破綻を招く可能性があります。クラウドサービスの利用には、利便性と引き換えにある攻撃の可能性にも目を向ける必要があります。そもそも、基本的にクラウド環境は公開ネットワークからアクセスが可能なため、セキュリティ設定の実施は必須なのです。

では、実際にどのようにセキュリティを強化していくのか。対策の一つとして各クラウドベンダが提供しているクラウド環境上のセキュリティ関連の汎用モジュールを利用することを推奨します。例えば、AWSの場合では、インターネットセキュリティの標準化団体であるCIS(Center for Internet Security)が公表している『CIS Amazon Web Service Foundations Benchmark』というガイドラインや、第三者による評価(当社では「AWSセキュリティ設定診断」として提供)を活用し、システム環境の設定状況を把握することが望ましいでしょう。

 

独自性カスタマイズのリスク

クラウド環境は各ベンダの提供している汎用モジュールが充実していますが、実際の提供サービスの機能と合致しないことがあり、その場合、独自のカスタマイズや実装が必要になります。前述のCapital Oneのインシデントでは、このカスタマイズこそがあだとなりました。実際の運用環境では、ポリシーや他との互換性を考慮して様々なカスタマイズが行われますが、その際に設定ミスが発生することで、セキュリティホールとなる可能性があることを認識し、十分に注意しなければなりません。また、カスタマイズされたモジュールそのものに問題がなかったとしても、汎用モジュールとの連携が原因で問題が発生することもあるでしょう。クラウド環境上でWeb サービスを提供する場合には、各種設定がベストプラクティス(最善策)に適合しているかを把握し、さらに第三者の目から見た診断によって分析を行い、リスクを可視化することが重要です。

 

クラウドの時代

今後、世の中はますます利便性の高いクラウドへと傾倒し、既存システムのクラウド環境への移転、リニューアル化がもはや時代の潮流となるでしょう。それゆえに、攻撃者の格好のターゲットとならないよう、隙を与えないための定期的な診断によるリスク把握は、クラウドを用いたビジネスにおいて必要不可欠なのです。

 

※SSRF攻撃(Server Side Request Forgery)
公開サーバに攻撃コマンドを送信することで、サーバ権限を利用し、非公開の内部サーバに攻撃が実行可能になる。
クラウド環境の内部サーバに対して、メタデータ取得APIを実行させ、ユーザの認証情報(ID・パスワード)を盗み取れる。


注:
1) 6.0ゼタバイト=6.0×1021

参考情報:
*https://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share