ゼロデイ攻撃は攻撃者の「銃」――Foundstoneのチェン氏
米McAfeeの傘下にあるFoundstone部門でシニアプリンシパルコンサルタントを務めるイェン−ミン・チェン氏が来日。リスク管理や脆弱性の問題について語った。
「セキュリティ問題に対処していくのに万能薬はない。人とプロセス、テクノロジという3つの要素をうまく組み合わせていくことが重要だ」――米McAfeeの傘下にあるFoundstoneでシニアプリンシパルコンサルタントを務めるイェン−ミン・チェン氏は、企業のリスク管理のポイントについてこのように述べた。単なる脆弱性管理だけに終わらせるのではなく、企業全体のリスク管理として取り組んでいくことが重要だという。
リスク管理は、日本版SOX法などで注目を集めるコンプライアンスの一環としても位置付けることができる。ただし、こうした法規制は、構築から維持、運用にいたるまで、IT全般を包括するものであり、リスク管理やセキュリティはその一部をなす要素にすぎない。さらに、「規制への遵守というのはあくまで目標であり、どのようにそれを成し遂げるか、その道のりについては自分自身で考えなくてはいけない」とチェン氏は述べた。
米McAfeeのFoundstone部門でシニアプリンシパルコンサルタントを務めるイェン−ミン・チェン氏チェン氏によると、リスク管理を実現していくステップは次のようになる。
まず人に対しては、「パスワードはみだりに他人に教えてはいけない」といった基本的な事柄のトレーニングを実施する。同時に、企業内にどんな資産があるかをまとめたインベントリを作成し、資産の重要度に応じて優先順位を付ける。「企業のビジネス上の要求やポリシー、法規制といった要素によって順位付けは異なってくる」(同氏)。そして、各資産に存在する脆弱性を見極め、リスクを算出していく。その上で、パッチ適用などのリスク緩和策をとる。こうした作業には、既存の資産管理ツールやパッチ管理ツールなどを活用できる。
「重要なのは、インベントリのリストを作って終わりではなく、メンテナンスしていくこと。問題も変化すれば環境も変わる。資産の追加や削除などに応じて継続的に変更を管理していくことが大事だ」(チェン氏)
さらに、継続的にリスクを測定し、最初のベースラインと比べて資産と脆弱性、脅威はどう変化しているかを定期的に把握していくことだと同氏は述べた。「子供の身長測定と同じで、企業のセキュリティも『前に比べてどのくらいセキュアになったか』を測っていくことが重要だ」(チェン氏)
ただ、「どんな企業でもリソースは限られている」(同氏)のも事実。したがって優先順位を付けることがポイントになる。まず全体像を描き、それぞれの固有のニーズに応じて優先順位を付け、それに沿ってプロセスを実行することにより、セキュリティレベル向上につなげることができるとチェン氏は述べた。
現実世界の詐欺がインターネット上に
チェン氏は、最近の脆弱性と攻撃の傾向についても語った。ファイアウォールをはじめとする対策が施されるにつれ、攻撃のターゲットはサーバから、より高いレイヤのアプリケーション、それも一般に公開されているWebなどのサービスにシフトしてきた。さらに、クライアントそのものや重要な情報が含まれているバックアップテープ、ノートPCや携帯電話本体が盗まれるケースも増加した。
また興味深いことに、フィッシング攻撃のように幅広く一般の人々を狙った攻撃が増加している一方で、具体的な組織や人物に狙いを絞ったターゲット特定型の攻撃も増加しているという。いずれにせよ背後には「金儲け」という目的があり、前者はより多くの一般ユーザーに悪意あるソフトを配布することで、後者は特定の企業や組織に狙いを付けて予備知識を活用することで、より多くの「儲け」を得ようとしている。
いずれにせよ、その意味で「現実世界の詐欺と共通点がある。現実世界の犯罪が、インターネット上で別の方法で仕掛けられているだけにすぎない」(チェン氏)
その中で、「ゼロデイ攻撃は、攻撃者にとって企業や一般ユーザーに対する『武器』になっている」と同氏は述べた。「丸腰の人よりも銃を持っている人のほうが有利になるのと同じで、他者が知らない知識、他人が知らない脆弱性を知っていることを、金儲けに有利に活用している」(同氏)
この種の攻撃がやっかいなのは、その実体が見えないことだ。「攻撃されるまで分からないということがゼロデイ問題の難しいところ」(チェン氏)
チェン氏は11月29日、30日にわたって行われるセキュリティカンファレンス、PacSecにおいて、次世代ネットワーク(NGN)でも注目されているIPTVやトリプルプレイのセキュリティをテーマとしたセッションを行う。これも、一連の問題の延長線上にある課題だという。
「IPTVはホームエンターテインメントに革命を引き起こす存在であり、将来、ホームエンターテインメントの中核になるだろう」(チェン氏)。だが、そうしたインフラが確立され、その上を金銭をはじめとするさまざまな価値が流れるようになれば、いろいろな問題を抱える可能性もある。
「(電話のタダ掛けと同じように)うまくごまかしてただでIPTVを見られるようにしてしまい、通信事業者に損害が生じるといった課題がある。あるいは、政治的動機を持つグループがチャンネルを乗っ取り、特定のメッセージを強制的に伝えるといった可能性も考えられる」(チェン氏)
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。