米国家安全保障局(NSA)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。政府機関や民間企業を対象とするセキュリティ診断や、実際のサイバー攻撃に使われた手口に基づきまとめたもので、それぞれについて具体的な対策も紹介している。
政府機関や自治体、企業に対する侵入テストを通じて組織のセキュリティ診断を行っているCISAの「レッドチーム」と、戦略的脆弱性評価を手掛ける「ブルーチーム」の活動、さらにはインシデント対応の実績を通じ、多くの組織に共通する体系的弱点を洗い出している。
サイバー攻撃に利用されやすいセキュリティ設定のトップ10として挙がった不備は以下の通り。
リストの筆頭に挙げられたデフォルト設定は、多くのソフトウェアやネットワーク機器などに存在する。管理者アカウントにアクセスできるデフォルトの認証情報は、簡単なネット検索で発見できてしまう。
デフォルトのVPN認証情報を利用して内部ネットワークに不正アクセスしたり、公開されているセットアップ情報を使って管理者用の認証情報を特定し、アプリケーションやデータベースに不正アクセスしたりする手口は、実際の攻撃や侵入テストに使われているという。
ネットワーク機器だけでなく、プリンタやスキャナー、防犯カメラ、会議室のオーディオビジュアル機器、VoIP電話、IoTデバイスにもデフォルトの認証情報が使われていることもあるので注意が必要だ。そうした機器が不正アクセスの糸口として利用される恐れもある。
それを阻止するためには、サービスやソフトウェア、機器などを本番環境に導入する前に、ベンダーが設定したデフォルトのユーザー名とパスワードを変更するか、デフォルトの設定を無効にする必要がある。
こうした弱点を突かれて侵入を許した場合、ユーザーと管理者権限が適切に分離されていなければ、攻撃者がネットワーク内部を移動して幅広いデバイスやサービスにアクセス可能になる。特定のアカウントに過剰な特権が与えられていたり、必要がないのに特権アカウントが使用されていたりするケースがそれに当たる。アプリケーションからリソースへのアクセスに使われるサービスアカウントの特権が悪用されることもある。
また、ネットワークトラフィックやエンド端末のログ記録に対する監視が不十分だったり、ユーザーとプロダクション環境と重要システムを隔てるセグメンテーションが欠如していたり、パッチ管理が行き届かずに脆弱性が放置されたりしていた場合、被害はさらに拡大しかねない。
「そうしたセキュリティ設定の不備は、サイバー態勢が整った組織にも体系的な弱点があることになる」とCISAなどは指摘する。対策として「デフォルトの認証情報の排除と設定の強化」「使用していないサービスの無効化とアクセス制御の実装」「定期的なアップデートとパッチ適用の自動化、悪用が確認されている既知の脆弱性パッチの優先適用」「管理用アカウントと特権の削減、制限、監査、監視」などを挙げた。
詳細については、それぞれの弱点ごとに具体的な内容やネットワーク診断の課程で見つかった問題を解説し、対策をまとめている。また、ソフトウェアメーカーに対しては「ネットワーク防御の負担を軽減するため、設計段階からセキュリティを念頭に置く『セキュア・バイ・デザイン』を取り入れることが重要だ」と提言した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR