インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは：ITmedia エンタープライズ セキュリティセミナーレポート（2/2 ページ）

[高橋睦美，ITmedia]

脆弱性診断で見えてきた“意外な盲点”とは

　ゲヒルンでは現在、災害に備えた「お天気カメラ」の制作と配布、気象庁との専用回線を活用した気象情報提供といった防災面での事業と、脆弱性診断サービスを中心としたサイバーセキュリティ事業に積極的に取り組んでいる。

　同社による脆弱性診断の特徴は、アプリケーションそのものの診断に限らず、回線など物理的な事柄から人・経営に関わるレベルまで、さまざまなレイヤーにまたがった診断を実施し、解決策に向けた開発まで手掛けている点だ。

　石森氏は、さくらインターネットグループを対象にした脆弱性診断を例に挙げた。同社のコードリポジトリを巡回している際に、誰でも認証なしで取得できる「野良API」を発見したり、定期的なネットワークスキャンの際に、グローバルIPアドレスが割り当てられ、外部から誰でもアクセス可能なネットワーク機器を見つけたりしたそうだ。発見後の対策として、前者のケースでは、実装の方法やHTTPS化などのベストプラクティスとともに、認証の仕組みを実装するよう開発サイドに依頼し、後者では当該機器の使用停止を勧告した。

ゲヒルンでは、さくらインターネットのデータセンターを狙った攻撃や、ユーザー環境を踏み台にした攻撃などに対処すべく、リサーチや外部コミュニティーとの連携を強めているという

　「判断を下すのは、実際に運用や開発に携わっている人。CSIRTとしては、『こうやりなさい』と命令するのではなく、あくまで助言役というスタイルをとっている」（石森氏）

　その“第三者的”な視点が、開発者の目が届かないような場所にある脆弱性の発見につながることもある。例えば、ゲヒルンがあるクラウドソーシングサービスの中に任意のコマンドを実行できる脆弱性を見つけた際は、それが作り込まれたアプリケーション本体ではなく、アプリケーションが参照するライブラリに起因するものだったことが分かった。

　「開発者としては、普通に開発しているだけ。最初から脆弱性を見つけるつもりで検査しなければ、なかなか気付けない問題だろう」と石森氏は話す。

　他にも、コントロールパネルに脆弱性が見つかったり、覚えのないPHPファイルが置かれていて「バックドアか」と驚いたり、ホスティングシステムで仮想マシンから他人のディスクに接続できてしまう問題が見つかってリリース前に修正したり……と、日々さまざまな問題の解決に取り組んでいるという。

　さまざまなシステムを診断してきた経験を踏まえて、石森氏は、「脆弱性はアプリケーションだけでなく、実は、TLS設定の不備やアクセス権限の不備といった土台、インフラ側にもたくさんあるということを知ってほしい」と話す。

　同氏が最近多いと話すのが、ホスティングサービスをターゲットにしたDDoS攻撃だ。特に、NTPやDNSといったプロトコルの仕組みを悪用した増幅攻撃が目立つとのことだが、ゲヒルンではこれらに対抗すべく、CloudFlareの協力を得て最大15Tbpsに耐えるDNSサービスを実装した。

2017年11月に国内であったDoS攻撃の例（出典：piyolog）

　「独立した会社としてさまざまな研究開発を行いつつ、医療における臨床と研究の関係のように、さくらインターネットの検査で得られた知見をフィードバックしている」（石森氏）

　今後も、日本をもっと安全にというミッションに向け、防災、インフラ、セキュリティのサービスを提供していくという石森氏。「キーワードは、現実的、合理的でなおかつ経営と密接に連携するということ。そして、CSIRT運営の秘訣は現実世界の防災や医療に学ぶこと」と呼び掛け、講演を締めくくった。