CTF for GIRLSが激論、攻撃者に負けない「難攻不落なシステム」の特徴とは？：ITmedia Security Week 2024 春 イベントレポート（1/2 ページ）

アイティメディア主催セミナー「ITmedia Security Week 2024 春」に女性向けセキュリティコミュニティー「CTF for GIRLS」のメンバーが登壇し、“攻略が難しいシステム”や“簡単なシステム”の特徴について激論を交わした。

[宮田健，ITmedia]

　2024年5月27日〜6月3日に開催されたアイティメディアの主催セミナー「ITmedia Security Week 2024 春」で、CTF for GIRLSのメンバーが登壇し、「攻撃×防御で探る、今必要なサイバーレジリエンス」というテーマでパネルディスカッションを実施した。

　CTF for GIRLSは情報セキュリティ技術に興味がある女性を対象に、情報セキュリティ技術を競うコンテスト“CTF（Capture The Flag）”を開催するなど、技術的な話や何気ない悩みを話し合えるコミュニティーを目指して運営されている。攻撃と防御の両面から現状のサイバー空間を見ている、さまざまなバックグラウンドを持つ4人が、今できる対策、そして心構えを語り合った。今回はその様子をレポートしよう。

本稿は「ITmedia Security Week 2024 春」に登壇したCTF for GIRLSの講演を基に編集部が再構成した。

攻撃者視点で考える“攻略が難しいシステム”“容易なシステム”とは？

　最初のトピックは「攻略が難しいシステム、容易なシステムは？」だ。4人はそれぞれの所属する企業で、ペネトレーションテストや脆弱（ぜいじゃく）性検査、そして社内でのセキュリティ啓発活動に携わっている。

　特にペネトレーションテストを通じ、業務で顧客システムの診断を実施する日立ソリューションズの青山桃子氏は、対象となるシステムの攻略容易性が、これまでの知見から“感覚で”分かってしまうと述べる。

　攻略の簡単なシステムは、ほんの少し触るだけでも「ここから攻撃できそう」ということが測れる。公開されている各種ツールを使えば、容易に脆弱性を発見できるため、攻撃者にそれほど技術や知識がなかったとしても、簡単に攻略できてしまうという。

　青山氏は「攻略できるポイントがツールで簡単に見つからないようにするのが最初のステップだ。それすらできていなければ、脆弱なシステムであることが攻撃者に見破られてしまう」と話す。

今回のパネルディスカッションに登壇したCTF for GIRLSのメンバー。左からT3Realizeの野溝 のみぞう氏、NECの中島春香氏、日立ソリューションズの青山桃子氏、インターネットイニシアティブの高岡奈央氏

　CTF for GIRLSの代表を務める中島春香氏はシステムの運用が複雑化し、セキュリティパッチの適用が難しくなっていることは理解しつつも、中島氏は「数年前のバージョンやサポート切れのものを使っていると、セキュリティ意識が低いと攻撃者に思われ、狙われる可能性がある」と述べる。

　「既知の脆弱性がなく、アップデートされていることが攻撃者にも分かれば、『基本的なセキュリティ対策ができている』と判断され、攻撃の対象から外れるかもしれない。攻撃者に『攻撃コストが高い』と思わせることが重要だ」（中島氏）

　一方で防御側の視点でも「攻略しにくいシステム」を考えてみよう。SOC（Security Operation Center）のアナリストとして活動する高岡奈央氏は、脆弱性管理が組織で均一ではないことを指摘する。本社のセキュリティはきっちりと脆弱性対応ができていたとしても、支社や拠点によっては本社の指示が行き届かず、パッチが適用されなかった結果、弱いところから侵入され、結果として本社システムも侵害されてしまうことが実際に発生している。「組織の“人”的にも、システムを包括的に見る仕組みが必要だ」（高岡氏）

　高岡氏はこれに加えて、組織内でのセキュリティ啓発活動を通じ、「思い込み」が壁になっている可能性があると指摘した。

　「例えばサーバのエラーログをピックアップした際、エラーになったことで“攻撃に失敗”と判断する人、エラーがあるが何らかの異常があるとして“攻撃に成功しているかも”と判断する人など、皆さまざまな思い込みをしている。自身の経験を生かすことは重要だが、新しいことを常に学び、先入観をなくすことも同じくらい大事だ」（高岡氏）

　今回のテーマについて攻撃側、防御側の双方からさまざまな意見が出たが、メンバー全員が共通して訴えていたのは「基本が大事」という点だ。脆弱性が見つかった場合、運用上すぐにパッチを適用できなかったとしても、できるだけ早く対策し、修正することが重要だ。問題は脆弱性診断で見つかった脆弱性の優先順位付けだ。この点に関して青山氏は「診断を実施する上で、顧客に危険度を報告する。その危険度をどう判断するかというのは顧客による。インパクトの大きさやリスクを見て優先度を判断してほしい」と語る。

　脆弱性診断を実施する人、そしてその結果を受け取る人。どう解釈し、対策を適用していくかは、難しい課題だろう。サイバーレジリエンスという観点では、組織に属する全員の意識も大きなポイントになる。中島氏は「セキュリティは全社的な問題だ。IT部門以外の人にアウェアネスが足りなければ、ささいなことからインシデントが起きてしまう」と指摘する。中島氏が所属する組織では、社内CTF企画を定期的に実施しており、セキュリティ業務に携わっていない人の参加も徐々に増えてきているという。野溝氏は「皆でやることは非常に大事だ」と話す。