VPN | SQAT®.jp

2021年12月8日2021年12月16日

ランサムウェア攻撃に効果的な対策
‐セキュリティ対策の点検はできていますか？‐

これまでSQAT.jpの記事においても何度か取り上げている「ランサムウェア」ですが、攻撃パターンが変化し、なお進化を続け、その被害は国内外ともに2020年よりも増加傾向にあります。いまや完全に防ぐことが難しいランサムウェア攻撃に有効な対策としておすすめしたいのが、「攻撃・侵入される前提の取り組み」です。本記事では、ランサムウェア攻撃の拡大理由を探りながら、企業・組織が行うべき「ランサムウェア対策の有効性検証」について解説します。

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

2021年10月、米財務省金融犯罪取締ネットワーク（FinCEN）は2021年1月～6月におけるランサムウェア攻撃についてのレポートを発行しました。サイバー犯罪は政府全体で優先的に取り組むべき課題であるとしている中で、特にランサムウェアに関しては懸念される深刻なサイバー犯罪であると強調されています。

FinCENがランサムウェアをそのように注視している背景として、各金融機関から報告された2021年上半期のランサムウェアに関する不審な取引報告数が、2020年の１年間の合計件数よりもすでに多い状態であることや、ランサムウェア攻撃関連の取引総額も2020年の合計額よりもすでに多いことをレポートに挙げています。

出典：Financial Crimes Enforcement Network
「Financial Trend Analysis – Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021」（2021/10/15）

これまでのバックナンバーでも触れてきましたように、ランサムウェアは変遷が激しく、日々新種や亜種が生まれ、大きな勢力を持っていたものですら、すぐに入れ替わってしまいます。

2020年以降のランサムウェアの変貌について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
「変貌するランサムウェア、いま何が脅威か―2020年最新動向―」
「ランサムウェア最新動向2021―2020年振り返りとともに―」
「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」

このようにランサムウェアがRaaSとしてビジネス化している中で、依然として攻撃件数や被害総額は増えており、ランサムウェアの種類の移り変わりの激しさを見ても、活発な市場であることがわかります。

国内レポートにおけるランサムウェア事情

次は日本国内における最近のランサムウェア攻撃事情もみていきましょう。2021年9月に警察庁が公開した「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃による被害が多発している中で、昨今のランサムウェアは下記のような特徴があるとしています。

二重恐喝（ダブルエクストーション）	データの暗号化だけでなく、窃取したデータを使って「対価を支払わなければデータを公開する」などと二重に金銭を要求する手口
標的型ランサムウェア攻撃	特定の個人や企業・団体を狙って、事前にターゲットの情報を収集し、より確度の高い攻撃手法で実行する攻撃
暗号資産による金銭の要求	身代金の支払いを暗号資産で要求する
VPN機器からの侵入	従来は不特定多数を狙って電子メールを送る手口が一般的だったが、現在はVPN機器からの侵入が増えている

出典：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdfより弊社作成

同報告書によると、2021年上半期に都道府県警察から報告があった企業・団体等のランサムウェアの被害件数は61件であり、前年下半期の21件と比べると大幅に増加しました。被害を受けた企業・団体等は、大企業・中小企業といった規模や業界業種は問わずに被害が報告されている状況です。表でご紹介した昨今のランサムウェアの特徴である二重恐喝は、手口を確認できた被害企業のうち77%で実施され、また暗号資産による支払い請求は90%にもおよびました。

さらにランサムウェアの感染経路に関してもVPN機器からの侵入が55%で最も多く、次いでリモートデスクトップからの侵入が23%となっており、リモートワークが浸透してきた昨今の時勢からみると、まだセキュリティ対応の追いついていない穴をつく攻撃が多いことがわかります。

警察庁が被害を受けた企業・団体等に向けて実施したアンケートによると、被害後、復旧に要した期間は「即時～1週間」が最も多く全体の43%にあたります。次いで多いのは「1週間～1ヶ月」であることから、多くの企業は早々に復旧できているようです。

しかしながら、被害後の調査および復旧時の費用総額を見てみると、最も多いのは「1,000万円以上5,000万円未満」で全体の36%となっています。復旧の期間だけで見ればそれほど被害を大きく感じないところではありますが、調査および復旧時の費用総額を考えると、かなりのコストがかかってしまっているのが実情です。

注：図中の割合は小数点第1位以下を四捨五入しているため、総計が必ずしも100にならない

出典：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

またそういったコスト以外にも、ランサムウェアによる被害が業務に与えた影響について、「一部の業務に影響あり」と90%が回答しているものの、被害を受けた企業のうち2件は「すべての業務が停止」したため、もしランサムウェアの被害にあった場合はインシデント対応以外にも業務に支障が出てしまうことも忘れてはいけません。

なぜランサムウェア攻撃が増加していくの

ここまでみてきたとおり、国内外問わず依然として活発となっているランサムウェア攻撃ですが、なぜ拡大していく一方なのでしょうか。その理由として大きくは、下記のことが考えられます。

●　RaaSビジネスとして儲かる市場ができている*1
●　ランサムウェア攻撃をしても捕まりにくく、ローリスクハイリターンの状態である

既述の国外のランサムウェア事情でも触れましたように、ランサムウェアの市場は“稼げるビジネス”として活発であり、ビジネスとして儲けやすい状態にあります。

さらに攻撃者を捕まえるためにはこのように国際協力が必要不可欠であり、最近ようやく法整備などが整いつつある状況ではありますが、未だランサムウェア攻撃者が逮捕されにくいのが現状です。そういった状況からランサムウェア市場は今後も衰えることなく拡大していくことが想定されます。被害にあわないためにも、ランサムウェアを一時的な流行りの攻撃としてとらえるのではなく、今後も存在し続ける脅威だということを念頭において対策を行うことを推奨します。

進化し続けるランサムウェア

先に述べましたようにRaaSビジネス市場の活発さやランサムウェアの特徴の変化など、ランサムウェアは日々目まぐるしいスピードで進化し続けています。それに伴い、実際に被害件数や身代金の被害総額などが増加しているのも見てきたとおりです。また、テレワークやクラウドサービスの利用を緊急で対応した企業が多い中で、昨今のランサムウェアの特徴の一つである「VPN機器からの侵入」がメインの手法となっている今、そこが弱点となり得る企業が多く存在しています。

ランサムウェアの脅威は一時的なものではなく、来年、ないしはその先でも攻撃の手が伸びてくる可能性があることを忘れてはなりません。引き続きテレワーク・クラウド環境のセキュリティの見直しを行うことはもちろん、そういった働き方の変化に伴って増加している標的型攻撃メールやフィッシング攻撃についても警戒が必要です。

企業が行うべきランサムウェア対策の実効性評価

しかしながら、いくら警戒を強めて対策を行っていても、ランサムウェア攻撃を完全に防ぐことは難しいのが現実です。そこでBBsecが提案しているのは、完全に防ぐのではなく、攻撃への抵抗力を高めるという考え方です。そのために重要となってくるのは「攻撃・侵入される前提の取り組み」です。第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を行うというものです。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

また、なかには思い浮かぶ限りの基本的な対策はすでに実施済みという方もいらっしゃるでしょう。そういった方々へ次のステップとしておすすめしているのは、「対策の有効性を検証する」という工程です。

BBsecでは多層防御実現のために「ランサムウェア対策総点検＋ペネトレーションテスト」の組み合わせを推奨しています。

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度（リスクレベル）を判定いたします。

また弊社では、11月に「リスクを可視化するランサムウェア対策総点検」と題したウェビナーで、サービスのデモンストレーションとご紹介をしております。こちらも併せてご覧ください。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

【例】

このように実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。

2020年5月26日2020年10月13日

＜コラム＞「ゼロトラストアーキテクチャ」とは？

株式会社ブロードバンドセキュリティ
エグゼクティブ・フェロー^※　安藤一憲
（※取材当時の役職になります。）

「バズワードになってるけど実態がよくわからない」という現象はこの言葉に限ったことではないが、この言葉もご多分に漏れず中身の理解よりも言葉が先行しているように見える。世間に出ている記事を読むとどうやら認証が鍵なことだけは朧げながらわかる。

ゼロトラストを定義する文書で最短距離にあるのはNIST SP800-207で未だドラフトではあるが、そもそもの意味は「権限管理下にある認証を経ていないユーザには何もアクセス権限を与えない」という意味で「ゼロトラスト」と言っていることがわかる。

では、それを実現するアーキテクチャの「肝」は何かというと、ユーザがアクセスするデータプレーンと、認証とアクセス権限を与えるコントロールプレーンを論理的に分離することにある(ドラフトでは3.4.1の5に書いてある)。そうすることで不正アクセスへの監視を容易にし、例えばマルウェア感染の疑われるPCからのリソースへのアクセス遮断を容易にする、という寸法である。この分離がなされていない場合は「ゼロトラストアーキテクチャ」とは到底言い難い。企業システムの侵害において多くのケースで致命傷になっているのがAD等のディレクトリサーバへの侵害であることを考えればこの分離はとてもリーズナブルである。

従来のネットワーク

ゼロトラスト構成例

社内ネットワークへのVPNゲートウェイはこの構成では必要がなくなる。「ユーザがどの機器を経由してアクセスしているか」ではアクセス権限は与えられないからだ。逆に、ユーザが自宅にいようがモバイル環境にいようが、必要な認証さえ通ればリソースにアクセスできる、という思想である。もちろんユーザのアクセスには経路暗号化の利用が前提となりThreat intellgenceのふるいにかけられた後にアクセスが許可される。

ドラフトにはいくつかの実装モデルが載っているが、代表的な「Policy Enforcement Point(PEP)」を作るモデルでユーザにとって便利そうなのは、SSOを実現し社内リソースへのアクセス権限を適切に与えるreverse-proxyサーバのような実装が考えられよう。

管理リソースがローカルの社内ネットワークに止まらない場合には、例えばクラウド環境の裏側までコントロールプレーンを延伸する必要があろう。そこで必要になるのは例えばIDフェデレーションの仕組みだったりするだろう。ゼロトラストの文脈でIDフェデレーションが出てくるのは、「コントロールプレーンの論理的な分離」が要件だからである。

他にもユーザのデバイス上でアプリケーションが動く場合にはサンドボックス上で動かす等の配慮をするように書かれている。これは仮にユーザのデバイスが侵害されていた場合にも社内リソースへの影響を最小にするアプローチだ。基本的に「アプリケーションはユーザから隠せ」という記述も見られる。他にもざっとドラフトを読むとシステム侵害事例を研究した上で弱いところを潰し、かつ使い勝手を良くしようという意図が明確にわかる。

ゼロトラストアーキテクチャを実現するにはそれなりの道具立てが必要ではあるが、既存のネットワークをゼロトラストアーキテクチャに移行する場合にまず最初に手をつけるとすればもっとも手前にある社内ネットワークでの「コントロールプレーンとデータプレーンの論理的な分離」からであろう。最初から完全なものを作るのは難しいが「百里の道も一歩から」である。

2020年5月21日2020年10月7日

＜インタビュー＞上野宣氏／ ScanNetSecurity 編集長【後編】

脆弱性診断に携わる傍ら、セキュリティ人材の育成や情報配信、提言活動の中心的な役割を果たされてきたScanNetSecurity編集長上野宣氏に、昨今セキュリティ事情を率直に語っていただいたインタビュー。後編をお届けする。

（聞き手：田澤千絵／BBSec SS本部セキュリティ情報サービス部部長）

前編→

実はそこにあるリスク

━━ネットワーク脆弱性診断の場合は、暗号化周りの脆弱性が割と多く検出されます。攻撃で実際に狙われる可能性はどのくらいでしょうか。

上野：脆弱性の中では比較的対応に余裕が持てるタイプと言えます。しかし、長い目で見ると、暗号アルゴリズムの問題によって解読されるとか、中間者（Man-in-the-Middle）攻撃をされるといった危険は否めません。リプレイス等のタイミングで、アルゴリズムの見直しや最新プロトコルへの対応をタスクに入れた方がいいです。

━━例えば金融系の企業ですと、PCI DSS（Payment Card Industry Data Security Standard：クレジットカード業界のセキュリティ基準）に準拠しなければなりませんが、一般的にはコンプライアンス面で準拠必須な規定がありません。

上野：強制力があるものはないですね。OWASPもASVS（Application Security Verification Standard：アプリケーションセキュリティ検証標準）を出してはいるのですが。

━━GDPR（General Data Protection Regulation：一般データ保護規則）も今はあまり話題に出ませんね。

上野：結局、国内でビジネスしている企業にはあまり関係ないとか、せいぜいサードパーティCookieの扱いに注意するくらいだということで。一時期より騒がれなくなりましたね。

━━日本で強制力がある法律と言ったら個人情報保護法くらいでしょうか。

上野：攻撃されたことに対して開発会社が訴えられたことがありましたね。2014年だと思いますが、開発会社がちゃんとセキュリティを担保しなかったという理由で負けて、損害賠償金を支払うことになった。

開発会社は、きちんとした倫理観を持って自分たちが良いと認めるものを納めることが必要です。自転車だったらちゃんと規格があるのに。国際団体がWebアプリケーションの品質保証みたいなものを決めてくれたらいいのですが。

━━Webアプリケーション開発を依頼する際、開発会社にセキュリティを担保してもらうにはどうしたらいいでしょう。

上野：お勧めは、私などが作ってOWASPのセキュリティ要件定義書ワーキンググループで出している要件定義書です。

依頼側は、内容がわからなくてもいいから、これをそのまま持って行って、「これを作れますか」「これが大事だと言われたが、説明してもらえますか」という問いに対して話ができる開発会社を選ぶ。そうでない開発会社はやめたほうがいい。依頼企業がこのドキュメントを使ってくれるようになるといいなと僕は思いますね。

「これを守ると高くなりますよ」っていいように言われるんですけどね。「高くなる」って誰が言い始めたんですかね。セキュアに作るか、作らないかであって、高い部品が要るわけでもないのに。

━━対応できる技術者が高いんですかね。

上野：高くはなるでしょうね。でも、そこぐらいでしょ。安い人にお願いした結果ハリボテが出てきたら、それはユーザが騙されていることになる。

━━実際にセキュリティ要件に即した開発になっているかの見極めはどうしたらいいでしょう。

上野：受け入れテストで脆弱性診断を実施するといいでしょう。欠陥住宅の事件があった時、住宅を鑑定する資格を持った人がクローズアップされましたよね。部材が入っているか、接着剤がどうか等を専門的に見てくれる人。受け入れテストはそういった観点で重要なんじゃないかと。普通にアプリケーションを何回も見たって、機能がちゃんと動いているくらいしか確認できないですよね。キッチンにコンロが三つあります、火がつきますくらいしか分からないのと一緒です。だから、ちゃんとプロの目で見極める必要があると思います。

━━ネットワークの場合はいかがですか。特に、オンプレミスでネットワーク環境を構築する際に社内ネットワークの診断をやる企業は……

上野：社内LANのリソースに対して実施する企業は、ほぼ皆無だと思います。で、サポートが切れたWindowsサーバがまだ動いていたりします。「イントラネットだから別にいいですよね」とよく言われます。それが脅威だと思われていないのが脅威かなと思います。

リスクの算出方法として、「脅威の大きさそのもの」ばかりでなく、「発生する確率」という要素もあるため、例えば、同じ脅威でもインターネット上より、内部ネットワークの方が発生確率は低い、ということになります。しかし、もう一つ別の要素として、機密性や可用性との兼ね合いである「資産の価値」を考えてみます。例えば、インターネットにある僕個人のブログと社内LANにある機密情報入りのサーバを比べたら、今度は当然、後者が守られるべきとなるでしょう。掛け算していくと、最終的に逆転することがあるはずです。

━━当社もよくお客様に、「うちのWebサイトは個人情報扱ってないから診断は必要ない」と言われます。

上野：重要な情報があるか否かという判断軸になりがちですが、実は攻撃者が欲しいものとして、そのサーバ自体の信頼度がある。そこを踏み台にすると便利、という観点。私も侵入するときに踏み台をよく使います。乗っ取られた結果、次に乗っ取られる先、次に攻撃される先が出てきます。自分たちのオフィスの中に攻撃者を招き入れた結果、自分たちが加害者となって攻撃が行われる。それは駄目ですよね。

━━絶対に守らなければならないものと、リスクを多少許容してもかまわないものの切り分けができていないケースが多いように思います。

上野：リスクアセスメントが必要ですね。まず、何の資産があるかを知ることじゃないでしょうか。物理的、電子的、無形物、色々あると思う。何を守らなきゃいけないかをまず洗い出す必要がある。

━━業務におけるセキュリティというのはどうでしょう。棚卸をするにしても、セキュリティを考慮しながら業務する企業は実際には少ないと思っています。重要情報をそれと認識していなかったり。

上野：そこは、教育をしなきゃいけないと思います。上場企業だと全社員が受けるインサイダー情報のトレーニングがありますね。何を言っちゃいけなくて、何を漏らしちゃいけないのか。「これ重要だよね」という感覚は人によって全然違うので、それは企業が見解として示さなくてはいけない。

━━従業員のセキュリティ教育はどれぐらいの頻度で十分だと思いますか。

上野：最初は結構頻繁にやるべきだと思います。というのは、セキュリティにいちいち気をつけていたらしんどいので、企業の文化として根付くまで浸透させなくてはいけないからです。それ以降は、年に1度とか、追加教育を思い出したようにやるとか。人はどんどん忘れていきますので。

どうなるリモートワークセキュリティ元年

━━セキュリティは自然災害によっても変わりますし、流行り廃りもあります。今後1～2年はどういったことが予想されるでしょう。

上野：やはりリモートワーク絡みのセキュリティ問題が噴出するんじゃないでしょうか。自分のPCから漏れる、会社に侵入される、リモートワークのツールがフィッシングに悪用される、とか。今年は「リモートワークセキュリティ元年」かもしれないですね。

━━リモートワークセキュリティ元年！いいですね、それ。APTはどうでしょう。これからも減ることはないのではないかと。

上野：信用しやすくなるという観点だと、個人のPCに侵入する手口として、その人と仲良くなった後、オンラインミーティング系のツールだと偽ってインストールさせるのがますます増えるでしょうね。例えば相手に、「うちの会社、このツールじゃなきゃ駄目なんだよ。今日これから会議だから、すぐ入れてくれない？」って言われたら、絶対インストールするでしょ。しかもユーザは気づいてないかもしれない。僕もペネトレーションテストで使う手です。

━━あと、今まで注目されていなかったシステムや環境が注目されるとか。例えば、Zoomは爆発的にユーザが増えましたよね。脆弱性がこれまで一切出てこなかったツールで、今後はうじゃうじゃ出てくる、というような。

上野：今まで誰も調べていなかったのに、急に流行ったツールの宿命だと思います。Zoomはニュースにも取り上げられましたが、逆にすごくセキュリティに前向きな会社という印象を抱いてます。バグバウンティのプログラムも始めた。相当自信がないとできないことです。Zoomはこの3ヶ月～半年ですごくセキュアになると思います。

━━SNSはどうですか。システム自体というより、攻撃の入り口として利用されるとか。

上野：こんな中、LinkedIn等を利用して転職を考える人もいると思います。SNS経由でどこかを装って送られてくるっていうのは、非常に多そうですね。僕にもよく「パスワード漏れましたよ」って来ています。「あなたのSNSを半年前から見ています」というようなのです（笑）。

━━従業員がバラバラな場所で仕事をしている今、企業としてどのようなサポートをするのが、セキュリティの維持につながるでしょうか。

上野：リモートワークでも何でも、必要な環境を企業が提供することが大事です。ユーザ任せではいつか破綻します。特にPCと、中に入っているソフトも管理できる状態にするのが大切。自宅のルータやネットワークの問題は、そこまで大きな脅威ではない。やはりコンピュータ自体が安全であることが一番だと思います。繰り返しになりますが、リモートワークは今後増えることはあっても絶対なくならないので、従業員分の予算をちゃんと確保していただきたいです。

ーENDー　前編はこちら

上野宣氏
株式会社トライコーダ代表取締役
ペネトレーションテストやサイバーセキュリティトレーニングなどを提供。OWASP Japan 代表、情報処理安全確保支援士集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、ScanNetSecurtity編集長などを務め、人材育成および啓蒙に尽力。『Webセキュリティ担当者のための脆弱性診断スタートガイド ? 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』ほか著書多数。

田澤千絵
株式会社ブロードバンドセキュリティ（BBSec）
セキュリティサービス本部セキュリティ情報サービス部部長
黎明期といわれる頃から20年以上にわたり情報セキュリティに従事。
大手企業向けセキュリティポリシー策定、セキュリティコンサルを経て、現在は脆弱性診断結果のレポーティングにおける品質管理を統括。
メジャーなセキュリティスキャンツールやガイドライン、スタンダード、マニュアル等のローカライズ実績も多数。

2020年5月18日2021年12月9日

＜インタビュー＞上野宣氏／ ScanNetSecurity 編集長【前編】

長年、脆弱性診断に携わり、セキュリティ人材の育成や情報配信、提言活動における中心的な役割を果たされてきた上野宣氏。ScanNetSecurity編集長として様々な取材もされてきた同氏に、この度、弊社よりセキュリティ事情について気になるあれこれをざっくばらんにお聞きする機会を得た。

（聞き手：田澤千絵／BBSec SS本部セキュリティ情報サービス部部長）

後編→

リモートワーク環境のセキュリティ対策よもやま

━━新型コロナウイルス対策のため、様々な企業が急に追い詰められ、全然準備もできてないままリモートワークに踏み切ったところも多いと思います。セキュリティ上の問題噴出や、実際に侵害されたというニュースも目にしますね。

上野：私がコンサルしている会社で、比較的すんなりリモートワークに移行できた会社があります。元々は一切リモートワークを許可しておらず、VPNもなかったにもかかわらず、です。そこは、いわゆるゼロトラスト*2 を体現していて、開発も含めビジネスを全てクラウド上で行っています。そういう環境を2年くらいかけて作りました。結果、PCを自宅に持ち帰ってもVPNなしでそのまま仕事ができる感じです。ゼロトラスト的なネットワークがちゃんと作れれば全然問題なく移行できることが、今回はっきりしたと思いました。

でも、ほとんどの会社はそういうわけにいかず、おそらく全て会社のイントラネット上にある。例えばActive Directoryやファイルサーバ。デスクトップに色々なファイルや開発ツールがあったり。

━━では、ゼロトラストでなく従来型のネットワークの場合は、どうすれば安全にリモートワーク環境に移行できるでしょうか。

上野：やはりVPNでしょう。ただし、VPNサーバがだいぶ前に設定されたままだったり、プロトコルが古かったり、IDとパスワードを共有していて誰が接続したかわからなかったり、といった問題に注意しなければならない。それに、全社員が接続できるVPNサーバとなると、急には対応できない会社が多いと思います。

なので、AWS、Google等のクラウドを利用してVPNサーバを立て、そこを回線として接続するのがいいでしょう。結構安く、早くできると思います。

━━AWS利用の場合、責任分界点と言いますか、クラウドサービスベンダが担保してくれる部分と、ユーザが行わなくてはならないセキュリティ対策がありますよね。どう注意したらいいでしょうか。

上野：CISなど、公開されているベストプラクティスを参照していただくのがいいでしょう。ちまたに溢れている個人のブログを漁って調べるという手もありますが、ちゃんと知識を持ったセキュリティベンダにサポートしてもらうのが一番です。わからないのを自分たちで何とかするのではなく、会社の資産を守る大事なところですので、補正予算を組み会社をあげて緊急でやるべきです。

━━コロナウイルス対策で生産性が落ちている会社もある中、追加でセキュリティ費用を捻出するのは難しいと想像しますが……

上野：経営者がどう捉えるかですね。逆に、「オフィスいらないな」と考える経営者もいるわけで、その分リモートワーク環境に投資することもあると思うんです。今まで手間かけて机と椅子を用意していたのは何だったの、みたいな。このままコロナの問題がゼロになることはないでしょうから、いかに早く環境を整えるかが、ビジネスで勝つために重要ではないでしょうか。

━━先ほど上野さんがおっしゃったゼロトラストネットワークを実装する場合は、アクセス制御辺りが肝になりますか。

上野：ID管理をしっかりしなくてはいけません。ゼロトラストを体現するためにIDaaS（アイディーアース：Identity as a Service。ID管理をクラウドで実施するサービス）を導入することで、アカウント管理をユーザ任せにせず、組織が管理する。海外だと、CISOのような感じでIDを管理する専門の役職もあると聞いたことがあります。

━━従業員に対しては、どのような注意をしておけばいいでしょうか。

上野：パソコンは共有のものを使わない。ルータも最新のものを使う。人目につく公共の場では作業を行わない。あと、OSとアプリケーションのアップデート。昔から言われていることと同じです。 IPAが出している注意喚起は、割と簡潔で分かりやすいですね。

━━自宅環境でのリモートワークにあたり、環境を全て用意できない会社もあります。会社支給のPCでなく、自宅のPCを使用する場合の注意点は？

上野：まず脅威として考えられるのは、マルウェア感染とか、攻撃者による遠隔操作とかですね。会社の重要情報をPCに置いてしまうと、盗まれる可能性が出てくる。さらに、会社にVPN接続するとか、会社の何らかのサービスにアクセスするとなると、そのIDやパスワードも盗られて中に侵入される危険性もある。

もちろん、会社支給のPCならそういった事態が起きないというわけではありませんが、可能性は低い。資産管理ツールが入っていて余計なアプリケーションがインストールできないといった、ある程度の対策できるはずですから。

━━あと、懸念されるのはフィッシング系でしょうか。コロナウイルスに便乗したメール詐欺が増えています。

上野：東日本大震災の時もそうでしたが、緊急事態があると、広く人々に関係のある事象が増える。例えば、コロナ対策で政府からの給付金をもらうために手続きがオンラインでできます、となると、「俺、関係あるな」となる。攻撃者は騙しやすいポイントをすかさず利用してきます。

対策としては、許可されていないアプリケーションをインストールしないようにするとか、すべて疑ってかかるよう教育するとか、でしょうね。

脆弱性診断ホンネトーク

━━上野さんご自身も、普段ペネトレーションテストや脆弱性診断を実施されていますが、当社のシステム脆弱性診断では、高リスク（当社基準）以上の脆弱性の検出が全診断件数の3割ほどにのぼります。この現状をどう思われますか。

上野：脆弱性診断には相当長いこと関わっていますが、「全く世の中改善しないな」と思っています。僕らのアプローチが間違っているんじゃないかと思うぐらい。毎回、同じような脆弱性が出るし。

ここ何年か、「興味がない人に、いかにセキュリティを届けるか」という僕のテーマがあるんですが、非常に難しい。だから、そういう人たちが意識しなくてもできるようにしなければいけない。例えば、Webアプリケーションでクロスサイトスクリプティングを直すのはプログラマではなく、フレームワークとかAPIを使うことで誰が作っても安全なものになるような環境にしていく。もちろん、セキュアコーディングというものが消えるわけじゃないが、たとえそれを知らなくても安全なものを作れる仕組みのほうが、僕は必要だと思っています。

あとはWAF（Web Application Firewall）も含めて、全方位で担保できるもの。どんなひどいプログラムを書いても大丈夫なように、プラットフォームとかフレームワークとかWAFとか、各レイヤでなんとかできるようにするのがいい。

━━1つの対策だけじゃ守りきれないですから、多層防御は重要ですね。怖いのはゼロデイの脆弱性が見つかった時じゃないですか？

上野：ゼロデイ攻撃がわかってからパッチが適用されるまでの間は、Webの場合はWAFで防御できる可能性もあります。セキュアコーディングでは対応できないかもしれないし、フレームワークのアップデートを待っていたら攻撃される恐れもあるので。

フレームワークやライブラリのバージョン管理も大切です。そのためのOWASP Dependency Checkというツールなどがあります。

━━バージョン管理が徹底されていない会社はとても多いです。環境によってはアップデートできないというお客様もいらっしゃり、そうなると多層防御で、WAFやIPS/IDS入れてください、となると思います。

上野：我々診断業界も変わらなきゃいけないかもしれないです。診断の結果、クロスサイトスクリプティングが出たことだけ言うのでなく、出ないようにするには業務をこう変えなくちゃいけないですよ、と。我々もクロスサイトスクリプティングを見つけるの、飽きたじゃないですか（笑）。

そもそも最低限クリアしてしかるべきセキュリティレベルがあって、その上で脆弱性診断を受けてほしい。他の業界でもそうじゃないですか。安全な車を作った上で衝突テストをやるからいいのであって、適当に作った車で衝突テストしたってバラバラになるに決まってるじゃないですか。安全基準どおりのフレームワークで作った上で、「絶対安全なはずだけど念のためテストしてほしい」となるのが、脆弱性診断の本来あるべき姿だと思います。

━━同じ組織内でポリシーが定まっていない場合もあります。例えば、グループ企業同士を診断したら、A社はセキュリティの堅牢なシステムなのに、同じグループ傘下のB社は穴だらけだった、というような。

上野：そもそも共通のルールやフレームワークがない組織が多い。でも、今後作るものについてだけでも対応していけば、5年後には良くなっているかもしれない。たとえ現状を変えるのは難しくても未来は変えられると思うので、そこは考えていただきたいですね。これを機に、リモートワークを適切に推進して、セキュリティ対策を「コストではなく投資だ」と言える会社が生き残っていくのではないでしょうか。

ー後編へ続くー

＜関連情報＞コラム「ゼロトラストアーキテクチャ」とは?

話し手／上野宣氏
株式会社トライコーダ代表取締役
ペネトレーションテストやサイバーセキュリティトレーニングなどを提供。OWASP Japan 代表、情報処理安全確保支援士集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、ScanNetSecurity編集長などを務め、人材育成および啓蒙に尽力。『Webセキュリティ担当者のための脆弱性診断スタートガイド－上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』ほか著書多数。

聞き手／田澤千絵
株式会社ブロードバンドセキュリティ（BBSec）
セキュリティサービス本部セキュリティ情報サービス部部長
黎明期といわれる頃から20年以上にわたり情報セキュリティに従事。
大手企業向けセキュリティポリシー策定、セキュリティコンサルを経て、現在は脆弱性診断結果のレポーティングにおける品質管理を統括。
メジャーなセキュリティスキャンツールやガイドライン、スタンダード、マニュアル等のローカライズ実績も多数。

2020年4月24日2021年12月9日

「強制テレワーク化」で迫られる防御モデルの根本見直し

SQAT® 情報セキュリティ瓦版 2020年5月号

新型コロナウィルス（COVID-19）の世界的な感染拡大の影響により、今、かつてない勢いでテレワーク化が進んでいます。こうした業務環境の移行にあたっては数多くのセキュリティ課題が生じますが、今回の動きは、パンデミックという全世界規模の危機下で待ったなしの行動を迫るものであり、平時の計画的移行とは異なる様相もみられています。例えば、VPNの利用が急増し帯域の確保が追いつかない、急いで導入したオンライン会議ツールやチャットツールのセキュリティが不十分で再選定する羽目になる、などがそうです。さらに、直近の攻撃の傾向をみると、社会的危機に乗じた巧妙なソーシャルエンジニアリングが活発化しています。課題は山積ですが、一方で、こうした状況は、自組織の防御モデルをより堅牢なものへと組み替える契機とみることもできます。本記事では、その足掛かりとなる情報をご紹介いたします。

テレワーク普及で浮き彫りになる「境界防御モデル」の限界

従来、リモート業務でのセキュリティ確保に対しては「VPN（Virtual Private Network）」が推奨されてきました。これは、インターネット上に自組織専用の仮想プライベートネットワークを構築し、認証や暗号化等によって安全に通信できる経路を確保する仕組みです。しかし近年、VPNの不正アクセスを起因とする大規模セキュリティインシデントが立て続けに確認され、防御策としての限界が指摘されるようになっています。背景にあるのは、攻撃者側の手口の高度化、そして、「インターネットと自組織のネットワークの間に分厚い壁（境界）を築くことが防御になる」という前提で構築された「境界防御モデル」自体に内在する問題です。

VPNのほか、ファイアウォールやプロキシサーバも、この「境界防御モデル」型のソリューションになります。いずれも、インターネットとの境界に壁を築き、「壁の外側は信頼できない」「壁の内側は信頼できる」という基準を適用します。そのため、「万一境界が破られた場合」の策を講じていないと、ひとたび境界を破った攻撃者がその後「信頼された」者として容易にネットワーク内を動き回り、結果として甚大な被害につながる可能性があります。また、このモデルでは、内部犯行のリスクも想定外です。

さらに、インターネットを取り巻く環境の変化により、「境界」自体のあり方が変質している点にも注意を向ける必要があります。従来、事業で用いるシステムやそれを利用するユーザは特定の拠点に固まって存在していることが一般的で、組織の内と外に物理的・論理的な境界を設け、境界の守りを固めることで一定のセキュリティを確保できていました。しかし、近年は多くのシステムがサードパーティ製のクラウドに移行し、また、モバイルの普及でオフィス外での業務も日常化しています。今や事業が遂行される空間はかつてないほど広範に、かつ、細かく分散し、足元でのテレワークの急増がその動きをさらに加速させる中、従来の「境界」の考え方は、今日の組織を守る上で有効性を失いつつあります。

「ゼロトラスト」の視点が不可欠に

「境界防御モデル」の限界が顕在化する中、注目を集めているのが「ゼロトラスト」という考え方に基づく防御モデルです。「ゼロトラスト」のアプローチでは、境界の内外を問わず、あらゆるアクセスに対し、”Never trust, always verify（決して信頼せず、常に検証する）”という大原則に立って防御モデルを構築します。検証の機構では、アクセスの条件に基づき動的に認証・認可の判断を下し、アクセスを許可する場合は必要最小限の権限が適用されます。下に図示したのは、米国国立標準技術研究所（NIST）発行のガイドライン内『Zero Trust Architecture』（ドラフト版）に示されている概念図ですが、信頼できるかできないかは、「境界」ではなく、アクセス毎の検証によって決定されるのです。

Zero Trust Architectureの概念図

出典：NIST『Zero Trust Architecture』（日本語による補足は当社）
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf

なお、「ゼロトラスト」とはあくまで防御モデルを構築する際の「考え方」である、という点に留意が必要です。具体的にどのようなアーキテクチャでゼロトラストを実現するかは、各組織を取り巻く状況に応じてさまざまなシナリオが考えられます。例えば、Googleでは、「BeyondCorp」と名付けたアーキテクチャにより、VPNを使うことなくリモートアクセスでのセキュリティを実現しています。概要は下図のとおりで、ポリシーベースで運用されるゼロトラストネットワークにおいて、あらゆるユーザトラフィックが認証・認可の対象になっています。

Google BeyondCorpのコンポーネント

出典：https://static.googleusercontent.com/media/research.google.com/ja//pubs/archive/43231.pdfより当社作成

現実解は境界防御とゼロトラストの「ハイブリッド」

上記BeyondCorpでは境界による防御モデルからゼロトラストへの「完全な移行」が成されましたが、これは現行システムの全面的な見直しを迫るもので、多くの組織にとってハードルは極めて高いです。そこで、現実解として推奨されるのは、境界型防御とゼロトラストを「ハイブリッド」的に運用しながらゼロトラストの比率を少しずつ高めていくやり方です。優先度にもとづきゼロトラストモデルへの移行を進めるシステムを選定し、綿密な要件定義のもと、アーキテクチャの具体化を進めます。相対的に優先度の低いシステムについては、従来の方式（境界防御モデル）で対策を強化（境界を破られた場合の対策を追加で組み込む等）した上で運用を継続します。なお、移行を進めるにあたっては改めてのユーザ教育も欠かせません。オフィス環境であれば企業側でリスクヘッジが行えていたところ、テレワーク環境では個人レベルで留意しなければいけない領域が増えてくるためです。

前出のNISTによるガイダンス『Zero Trust Architecture』によれば、ゼロトラストアーキテクチャへの移行は、一種の「旅（journey）」で、インフラやプロセスをまるごと入れ替えるような類の取り組みとは異なります。組織には、重要なデータ資産を保護すべく、ユースケースごとに最適解を「探し求め（seek）」ながら、ゼロトラストの原則を取り入れ、プロセスの変更やテクノロジーソリューションの導入に関する取り組みを段階的に積み上げ、前進していくことが求められます。

システムで取り扱う資産を把握し、脆弱性・リスクを評価し、業界のガイドライン/ベストプラクティスやテクノロジーの最新動向に学び、自組織の要件に応じた体制を築き上げていく―パンデミックという未曽有の状況下ではありますが、「重要なデータ資産を脅威から守る」というセキュリティの目標に変わりはありません。あるべき姿を描き、組織の現状とのギャップを知り、1つ1つのステップを着実にクリアしながら、より強いシステムを築いていくことが望まれるでしょう。

参考記事：「テレワークにおける情報セキュリティ上の考慮事項」
https://www.bbsec.co.jp/report/telework/index.html

【関連情報】パンデミック下での攻撃傾向

主に下記のような攻撃タイプが活発化しています。技術的、物理的な脆弱性よりも人の心理面での脆弱性を突いた「ソーシャルエンジニアリング」の手口が多用されているのが特徴です。これは特に危機的状況下では、高い攻撃成功率が期待できるためです。平時にはない緊張を強いられる社員は不安やストレスを抱えて感情的に動揺しやすくなり、判断ミスが起こる可能性も高まります。心理面も考慮したセキュリティ啓発活動、組織内の情報連携、注意喚起情報の迅速な収集等が平時以上に求められると言えるでしょう。

詐欺目的のフィッシング
国内外ともに急増。新型コロナウイルス関連ではフィッシングメールの観測数が前四半期比で600%という観測結果*2も報告されている。日本では、これまでに、マスクの無償/有償配布をうたうメールやWebサイト*2、保健所からの連絡を装った攻撃*3が確認されている。

ランサムウェア
攻撃の入り口としてフィッシングが多用されている。医療機関への攻撃は控えると明言した攻撃者もある*4ものの、危機対応に追われる組織の隙を狙い、金銭の強奪をはかる動きは、今後業種を問わず拡大していくものと予想される。

APT攻撃
国家的組織を後ろ盾とする大規模な標的型攻撃も活発。まず、スピアフィッシングや水飲み場攻撃を成功させ、その上でバックドアやRATを仕込む攻撃などが観測されている*5 。

タグ: VPN