インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは:ITmedia エンタープライズ セキュリティセミナーレポート(2/2 ページ)
さまざまな企業の脆弱性診断を重ね、現在はさくらインターネットのCSIRTも運営するゲヒルン。創業者の石森氏が、インシデントの被害抑止に役立つ企業セキュリティの“盲点”をどう見つけてきたかを語った。
脆弱性診断で見えてきた“意外な盲点”とは
ゲヒルンでは現在、災害に備えた「お天気カメラ」の制作と配布、気象庁との専用回線を活用した気象情報提供といった防災面での事業と、脆弱性診断サービスを中心としたサイバーセキュリティ事業に積極的に取り組んでいる。
同社による脆弱性診断の特徴は、アプリケーションそのものの診断に限らず、回線など物理的な事柄から人・経営に関わるレベルまで、さまざまなレイヤーにまたがった診断を実施し、解決策に向けた開発まで手掛けている点だ。
石森氏は、さくらインターネットグループを対象にした脆弱性診断を例に挙げた。同社のコードリポジトリを巡回している際に、誰でも認証なしで取得できる「野良API」を発見したり、定期的なネットワークスキャンの際に、グローバルIPアドレスが割り当てられ、外部から誰でもアクセス可能なネットワーク機器を見つけたりしたそうだ。発見後の対策として、前者のケースでは、実装の方法やHTTPS化などのベストプラクティスとともに、認証の仕組みを実装するよう開発サイドに依頼し、後者では当該機器の使用停止を勧告した。
「判断を下すのは、実際に運用や開発に携わっている人。CSIRTとしては、『こうやりなさい』と命令するのではなく、あくまで助言役というスタイルをとっている」(石森氏)
その“第三者的”な視点が、開発者の目が届かないような場所にある脆弱性の発見につながることもある。例えば、ゲヒルンがあるクラウドソーシングサービスの中に任意のコマンドを実行できる脆弱性を見つけた際は、それが作り込まれたアプリケーション本体ではなく、アプリケーションが参照するライブラリに起因するものだったことが分かった。
「開発者としては、普通に開発しているだけ。最初から脆弱性を見つけるつもりで検査しなければ、なかなか気付けない問題だろう」と石森氏は話す。
他にも、コントロールパネルに脆弱性が見つかったり、覚えのないPHPファイルが置かれていて「バックドアか」と驚いたり、ホスティングシステムで仮想マシンから他人のディスクに接続できてしまう問題が見つかってリリース前に修正したり……と、日々さまざまな問題の解決に取り組んでいるという。
さまざまなシステムを診断してきた経験を踏まえて、石森氏は、「脆弱性はアプリケーションだけでなく、実は、TLS設定の不備やアクセス権限の不備といった土台、インフラ側にもたくさんあるということを知ってほしい」と話す。
同氏が最近多いと話すのが、ホスティングサービスをターゲットにしたDDoS攻撃だ。特に、NTPやDNSといったプロトコルの仕組みを悪用した増幅攻撃が目立つとのことだが、ゲヒルンではこれらに対抗すべく、CloudFlareの協力を得て最大15Tbpsに耐えるDNSサービスを実装した。
「独立した会社としてさまざまな研究開発を行いつつ、医療における臨床と研究の関係のように、さくらインターネットの検査で得られた知見をフィードバックしている」(石森氏)
今後も、日本をもっと安全にというミッションに向け、防災、インフラ、セキュリティのサービスを提供していくという石森氏。「キーワードは、現実的、合理的でなおかつ経営と密接に連携するということ。そして、CSIRT運営の秘訣は現実世界の防災や医療に学ぶこと」と呼び掛け、講演を締めくくった。
関連記事
- 200人が参加した“絶対に負けられない戦い” みずほFGの社内セキュリティコンテスト「MC3」の舞台裏
金融機関を狙うサイバー攻撃を後を絶たない中、日本企業の中では早くからセキュリティ対策に注力してきたみずほフィナンシャルグループ。最近では、人材育成に力を入れており、200人を超える規模のサイバーセキュリティコンテストを実施したという。 - 社長へのメールを秘書が開いてマルウェアに感染!? 標的型攻撃の実践演習「サイバークエスト」を模擬体験
知り合いからのメールだと信じて添付ファイルを開き、さまざまな情報が流出してしまった――そんなシナリオを演習形式で体験できる「サイバークエスト」。これを模擬体験できるセッションが、ITmedia エンタープライズ セキュリティセミナーで開催された。 - 「クラウドやAIを使えばセキュリティは万全」と思ったら大間違い? 2019年の攻撃予測をマカフィーに聞いた
仮想通貨を狙ったマルウェアや、巧妙なビジネスメール詐欺が暗躍した2018年、企業を狙った攻撃はどう変化したのか。そして2019年には、どんなセキュリティ対策が必要なのか? 新たな調査結果を発表したマカフィーに聞いた。 - サイバーセキュリティ人材に必要な14の人材像とスキルセット――NEC、日立、富士通が策定、人材育成推進へ
NEC、日立製作所、富士通は、サイバーセキュリティ技術者の共通人材モデルとして、14種類の人材像とそのスキルセットを体系化。人材モデルを標準化し、企業に必要なセキュリティ人材を効果的、効率的に教育する仕組みづくりを推進する。 - 日立とトレンドマイクロ、不足するセキュリティ人材の育成で協業 「サイバー攻撃対応研修」を提供
日立製作所、日立インフォメーションアカデミー、トレンドマイクロが、サイバーセキュリティ分野での人材育成で協業。最初の取り組みとして「サイバー攻撃対応研修」を2018年10月に提供開始する。 - 社員に伝えるセキュリティポリシー、理想は居酒屋で語れるレベル――MS澤氏からのメッセージ
「会社のセキュリティポリシーを守っていたら、仕事にならない」「使用禁止のツールをどうしても使う社員がいる」――こうした現場とIT部門のせめぎ合いに悩む企業が多い中、日本マイクロソフトの澤円さんが語る、発想の転換とは?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.