2021年の調査で、日本における上場企業または従業員350名以上の企業で、9割超がセキュリティ人材不足と回答しています。
では、その中でセキュリティ対策はどこまでやるべきなのでしょうか。
本コラムでは、組織、予算、具体的な対策までご紹介致します。
\サイバー攻撃、実際受けた画面を動画で/
サイバーセキュリティ人材の確保はもちろんのこと、組織の整備とセキュリティ対策の予算を組むことがまずは必要です。
この辺りのお話はIPA(情報処理推進機構)のサイトが参考になります。
日本政府も様々なガイドラインを民間向けに出しています。最近では重要インフラ企業向けに経済安全保障推進法案も成立しました。
実際に石油パイプラインがサイバー攻撃に見舞われた米国ではさらに一歩進んでいます。
米国の国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が地方を含む政府機関やインフラ企業向けに無料のサービスやツールをリスト化しています。
まず基本的な対策としては
・組織で利用しているソフトウェアの既知のセキュリティ上の欠陥の修正。ソフトウェアメーカーの提供しているセキュリティパッチ、更新を行います。
・多要素認証(MFA)を実装します。メーラーやアプリケーションが多要素認証の機能を提供している場合、多要素認証が機能するようにします。
これにより、パスワードが破られても2段階目の認証で防御することができます。
・悪い習慣を止める。
(1)ソフトウェアアップデートが無くなっている保守終了ソフトウェアを交換します。
と、記載されていますが、自己責任で継続使用されている組織もあるかと思われます。
当該デバイスが外部との入出力を一切行わない環境下での利用であればリスクは低いと思われますが、そうではない場合、悪い習慣を止める方向で対策する必要があります。
(2)既知/デフォルト/変更不可能なパスワードに依存するシステムまたは製品を交換します。
(3)重要なシステム、リソース、またはデータベースへのリモートアクセスまたは管理アクセスにMFA(上記を参照)を採用します。
・CISAの脆弱性スキャンサービス これは日本には無関係なので省略しますが、CISAに申し込むと脆弱性スキャンサービスを行ってくれます。
・Stuff of Search。インターネット検索で知ることができる、つまり暴露状態の組織の情報を調べ、攻撃者に攻撃対象領域を知られない様にします。
主としてIIoTやSCADAなどを対象にしています。
インターネット経由でアクセスできる資産を可視化することから始め、公開の必要が無い資産を選択します。
通常業務や日常で利用されている検索エンジンとは異なり、モノのインターネットの検索が可能なサービスがあります。
多要素認証・脆弱性スキャンサービスなどよりわかりやすく資料で確認▶どこまでやるべき?セキュリティ対策5選
次にサイバーリスク管理を成熟させるために4つのカテゴリーに分けたサービスとツールが紹介されています。詳細はCISAのページからご参照ください。
4つのカテゴリーは以下に分けられております。
1. 損害を与えるサイバーインシデントの可能性を減らす。
2. 悪意のあるアクティビティをすばやく検出します。
3. 確認されたインシデントに効果的に対応する。と
4. レジリエンスを最大化します
簡単ながら無料のサービスとツールとを紹介しているCISAのお話でした。
サイバーセキュリティ対策の参考になると思われますので、是非リストを参照してみてください。
少し内容を紹介してみますと、
大手OSメーカーが提供しているWebサイト閲覧時の保護機能があります。
これはOSにバンドルされているWebブラウザを信頼されていない(ホワイトリストにない)サイトを開く際に仮想マシンの技術を使いWebブラウザをOSとは別のメモリ空間で実行します。リストには概要説明とスキルレベル、サービスまたは製品のURLが記載されています。
予算は無いが、スキルはあるという場合はスキルレベル高度と分類されているオープンソースのシステムを利用することも出来るでしょう。
例えば、Hedgehog LinuxというDebianベースのLinuxは、ネットワークインターフェースの監視、PCAPファイルへのパケットのキャプチャ、ネットワークトラフィックからファイル転送を検出し、それらのファイルをスキャンするといった機能を持っています。
中には中小企業向けには無料で提供している多要素認証のシステムも有るようです。
2021年にセキュリティ人材の不足についてアンケート調査を行ったという記事がありますが、そこでは日本、米国、オーストラリアの3か国を比較しています。
日本の調査対象は上場企業または従業員350名以上の企業で、9割超がセキュリティ人材不足と回答しています。
米国、オーストラリアでは8割超がセキュリティ人材は充足していると回答しています。
この差について、同記事ではセキュリティ対策の省力化、自動化が進んでいる点を挙げています。
もちろんセキュリティ人材の層の厚さも異なるとは思いますが、省力化や自動化を進めることが出来る人材の確保が重要なようです。
最近ではDX推進のためかITシステムの内製化を進める企業も多くなっています。
内製化がメインの米国との違いがこの辺にあるのかもしれませんが、内製化を行うにはセキュリティにも十分な配慮が必要で開発したシステムの脆弱性診断や監視、運用もシステム開発初期から取り組む必要があるでしょう。
開発に関してはローコード、ノーコードのフレームワークも登場しており敷居が下がっていますが、それらフレームワークを含めてセキュリティ対策を推進していくエンジニアの敷居は下がっていないようです。
守るべき情報資産の棚卸やIT機器の棚卸など、人海戦術で行っている場合は省力化、自動化を検討するのがよいでしょう。
性善説を前提に、従業員にパソコン内の資産管理をさせているとか、OSの管理者権限を与えているとか無謀なことは避けるべきでしょう。
セキュリティ対策ソフトでは内部犯行やうっかりミスを防ぐことは難しいので、内部犯行を素早く検知する監視システムを導入するのも有効です。
情報漏洩や社内システム停止による損害(実害のみならず社会的評判もあり)よりも省力化、自動化のための投資が安く済むのであれば検討すべきでしょう。
このコラムをダウンロードして繰り返し読む▶どこまでやるべき?セキュリティ対策5選
セキュリティを考える上で、実際攻撃がどのように仕掛けられるかはご存知でしょうか。
また、IPアドレスとは?と聞かれたときにきちんと説明できますか?
IPアドレスなどの基礎知識から侵入の手口などを理解して、どのように攻撃されるか具体的に知識を得ることで、より具体的にどう対応するのが自社にとって最適か、考えてみましょう。
インターネットをお使いの場合によくIPアドレスという言葉を聞かれると思います。
パソコンを自宅とするなら、IPアドレスとは住所にあたります。
ただし、実際にIPパケット(通信用の電文)を受け取るためにはポストが必要になり、これが複数あってそれぞれにポート番号というのがふられています。
部屋ごとに郵便ポストがあるような感じです。
どのポート番号が開いているかを調べることをポートスキャンと言いますが、不要なポートを開けているとそこに悪意のあるIPパケットが届くことになります。
映画やドラマでハッカーがインターネット経由でどこかのサーバーに侵入するといった場合、どこかのサーバーのポートが開いていないと遠隔で乗っ取ることはできません。
そのため外部からの不正なアクセスを防ぐため、外部から組織内のポート番号が見えないようにしています。
もう少し細かい話をすると、IPとはインターネットプロトコルの略で、コンピュータ間の通信を行う場合は手順通りに通信を行わないと通信が成立しません。
そのため、インターネットでも通信の手順が決まっており、よくTCP/IPと呼ばれていますが、いくつかの層に分けた通信手順が規格化されており、
・物理層(ケーブルや端子、電気、光等の規格)
・データリンク層(イーサネット、PPPなど)
・ネットワーク層(ここがIP)
・トランスポート層(TCPやUDP)
・セッション層(HTTPなど)
・プレゼンテーション層
・アプリケーション層
と7階層になっています。
インターネットに接続する際には、LANケーブルでの有線接続でもWi-Fiでの無線接続でもWebサイトへのアクセスは同様に行えると思いますが、
それは物理層とデータリンク層の違いだけで、ネットワーク層から上は同じだからなのです。
侵入の手口はいくつかあります。
最も技術的なコストを必要としないのは、内部犯行です。
正常なアクセス権限を持つユーザーがコンピュータに入り込むのは当たり前なのでこれは防ぎようがありません(犯行を見つけることはできます)。
攻撃者に内部協力者が居ない場合、メールにマルウェアやURLを添付して送りつけます。
またはVPNゲートウェイやWebサーバーなど外部との入口になっている箇所の脆弱性を狙って侵入します。
メールを使った手段は皆さんよくご存じかと思いますが、ワードやエクセルの添付ファイルのマクロに悪意のあるスクリプトが書かれているとか、
添付ファイルそのものがマルウェアであるとか、メールに記載されているURLにアクセスするとマルウェアがダウンロードされるとかいくつか手法があります。
そのパソコン上で実行されたマルウェアやスクリプトが外部と通信(中から外への通信は比較的容易)し、パソコンの情報を流出させたり、
新しいマルウェアをダウンロードしたりして侵入が成功します。
笑えない例としては、情報セキュリティ対策ソフトの社内サーバーが脆弱性を突かれて侵入され、マルウェアを社内に拡散したという実例もあります。
TCP/IPではサーバー/クライアントと呼ばれる通信上の役割があります。
物理的なWebサーバーやファイルサーバーもそうですが、サーバープロセスはサービスを提供する側、クライアントプロセスはサービスを要求する側です。
通常、サーバープロセスはIPアドレスとポートが紐づけられているソケットを常時開けています。
クライアントから接続要求、複数の異なるIPアドレスのクライアントから同じIPアドレスとポート番号宛に届きますので、
ソケットと呼ばれているメモリ空間を複製していきます。
サーバープロセス側でクライアント毎にソケットを分けないと、どのクライアントと通信しているのか混乱しますよね。
閑話休題、つまり、侵入される場合ポートを開けて待っているサーバープロセスが存在しないとネットワーク経由では侵入されません。
パソコンでもそういうプロセスが存在していますので、余計なサービスは停止するといったことが推奨されます。
侵入したマルウェアが外部のC&C(コントロール&コマンド)サーバーと通信する場合が多いのですが、その場合に使われる通信プロトコルはHTTPSがよく用いられます。
HTTPSであれば普通に使われているので怪しまれることは少ないと思います。
悪意のある行為を行うので他のソフトウェアと区別してマルウェアと呼ばれていますが、作り方は他のアプリケーションプログラムと同じです。
その他にはDLLと呼ばれるライブラリ形式の場合もあります。
Windowsに環境変数というのがありますが、この中のPathを書き換えたりして同じ名前の不正なDLLをダウンロードすると、アプリケーションは不正なDLLをロードして利用します。
DLL形式の場合は正常なDLLを書き換えさせないとか環境変数を書き換えさせないといった対策で対応できます。
またデバイスドライバといって、周辺機器のI/O制御用のプログラムに潜んでいる場合もあります。
最近有名になったのが、USBメモリの形式なのにキーボードデバイスとしてOSから認識されて、悪意のある入力を行うという仕組みです。
わからないUSBメモリが落ちてるけど、中身何かなとパソコンに挿してみると、裏でC&Cサーバーへの通信が行われてマルウェアをダウンロードしているという目視ではわからない動作をしたりするそうです。
EXE形式の場合は、そもそも起動させないのが一番です。
コンピュータウィルスに感染したという場合、ウィルスのファイルがパソコンに存在しているだけではなく、それが起動され動作していることを指します。
さて、Windows中心の話でしたが、Webアプリ、Linux、Javaなど様々なプラットフォーム対応のマルウェアが存在しています。
さいごに、本コラムでは悪意のあるハッキングを推奨しておりません。ちょっとマルウェアを実行してみようという場合には、閉域ネットワーク内の仮想環境上でお試しください。
