「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫？：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　米国家安全保障局（NSA）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。政府機関や民間企業を対象とするセキュリティ診断や、実際のサイバー攻撃に使われた手口に基づきまとめたもので、それぞれについて具体的な対策も紹介している。

大規模組織にありがちなセキュリティの設定不備トップ10が発表

　政府機関や自治体、企業に対する侵入テストを通じて組織のセキュリティ診断を行っているCISAの「レッドチーム」と、戦略的脆弱性評価を手掛ける「ブルーチーム」の活動、さらにはインシデント対応の実績を通じ、多くの組織に共通する体系的弱点を洗い出している。

　サイバー攻撃に利用されやすいセキュリティ設定のトップ10として挙がった不備は以下の通り。

1. ソフトウェアやアプリケーションがデフォルト設定のままにである
2. ユーザーと管理者権限の不適切な分離
3. 内部ネットワークの監視不足
4. ネットワークセグメンテーションの欠如
5. パッチ管理の不備
6. システムのアクセス制御をかわされる問題
7. 多要素認証（MFA）の甘さや設定ミス
8. ネットワーク共有やサービスにおけるアクセス制御リスト（ACL）の不適切な設定
9. 破られやすいパスワードの使用や平文によるパスワードの保管など、不適切な認証情報の管理
10. 実効可能ファイルやHTMLアプリケーション、マクロといったコード実行の無制限状態

トップ10一覧

デフォルト設定によるリスクは？

　リストの筆頭に挙げられたデフォルト設定は、多くのソフトウェアやネットワーク機器などに存在する。管理者アカウントにアクセスできるデフォルトの認証情報は、簡単なネット検索で発見できてしまう。

　デフォルトのVPN認証情報を利用して内部ネットワークに不正アクセスしたり、公開されているセットアップ情報を使って管理者用の認証情報を特定し、アプリケーションやデータベースに不正アクセスしたりする手口は、実際の攻撃や侵入テストに使われているという。

　ネットワーク機器だけでなく、プリンタやスキャナー、防犯カメラ、会議室のオーディオビジュアル機器、VoIP電話、IoTデバイスにもデフォルトの認証情報が使われていることもあるので注意が必要だ。そうした機器が不正アクセスの糸口として利用される恐れもある。

　それを阻止するためには、サービスやソフトウェア、機器などを本番環境に導入する前に、ベンダーが設定したデフォルトのユーザー名とパスワードを変更するか、デフォルトの設定を無効にする必要がある。

デフォルト設定によりリスク（一部）

　こうした弱点を突かれて侵入を許した場合、ユーザーと管理者権限が適切に分離されていなければ、攻撃者がネットワーク内部を移動して幅広いデバイスやサービスにアクセス可能になる。特定のアカウントに過剰な特権が与えられていたり、必要がないのに特権アカウントが使用されていたりするケースがそれに当たる。アプリケーションからリソースへのアクセスに使われるサービスアカウントの特権が悪用されることもある。

　また、ネットワークトラフィックやエンド端末のログ記録に対する監視が不十分だったり、ユーザーとプロダクション環境と重要システムを隔てるセグメンテーションが欠如していたり、パッチ管理が行き届かずに脆弱性が放置されたりしていた場合、被害はさらに拡大しかねない。

　「そうしたセキュリティ設定の不備は、サイバー態勢が整った組織にも体系的な弱点があることになる」とCISAなどは指摘する。対策として「デフォルトの認証情報の排除と設定の強化」「使用していないサービスの無効化とアクセス制御の実装」「定期的なアップデートとパッチ適用の自動化、悪用が確認されている既知の脆弱性パッチの優先適用」「管理用アカウントと特権の削減、制限、監査、監視」などを挙げた。

　詳細については、それぞれの弱点ごとに具体的な内容やネットワーク診断の課程で見つかった問題を解説し、対策をまとめている。また、ソフトウェアメーカーに対しては「ネットワーク防御の負担を軽減するため、設計段階からセキュリティを念頭に置く『セキュア・バイ・デザイン』を取り入れることが重要だ」と提言した。