　例えば開発会社であればソースコードが重要な資産となるはずだ。他にも個人情報を抱えており、それらの流出は防ぎたい。また、ランサムウェア攻撃によって事業がストップしてしまうようなこともできるかぎり避けたいし、ブランド力が低下しても困る……という具合だ。日本の企業では「どれも大事ではない」か、「全部が大事」かの両極端になりがちという。

　「何でもかんでも大事というわけではないはずです。最も大事なものは何か、絶対にやられてほしくないものかを決め、それがどのくらい価値があるのかを把握していく必要があります」

　それが整理できれば、たとえ何らかのマルウェアに感染して一般社員の端末がおかしくなっても、攻撃者を特定し、追い出すことができるならばそれでもいい、という割り切り方もできる。そうした考え方に基づいて、リスクを管理していくことが重要と話す。

　このように、重要な資産を特定し、それに対する攻撃モデルを考えることが、「そのリスクに対する対策はどうなっているか」を診断する前提というわけだ。

　ここが整理できたら次に、どこにフォーカスしてどんな問題を炙り出したいのかを考える。ペネトレーションテストやレッドチーム演習の場合は、企業それぞれの成熟度や特徴に応じた「ゴール」を設定し、それに向けたシナリオを検討していく。

　ペネトレーションテストなどではしばしば「管理者権限の取得」がゴールとされることが多い。管理者権限があれば、侵入後の攻撃者が動きやすくなるのは事実だ。だが、仮に管理者権限を取らなくても重要システムにアクセスできる環境でそれをゴールにしても、本質的な問題は炙り出せないだろう。

　「もし不適切なゴールを設定してしまうと、本当は問題点があるのに診断結果は大丈夫と出て、『自分たちはうまくできている』と思い込んでしまうかもしれません」

　ただ、あまりに構えすぎる必要はない。一度診断を実施して現状を明らかにし、改めて守るべき資産とリスクを明確にするやり方もある。結果を踏まえ、リスクは果たして高いのか、低いのか、修正すべきかどうか、設計から根本的に修正すべきかなどを検討し、対策を進めていくきっかけにできる。そうして対策を取ったら、また新たなシナリオを立て、別の角度から診断していくこともできるだろう。

　いずれにせよ、ルスラン氏は「（診断などの）報告書は終わりではなく始まりです。このスタートラインに立つことではじめて問題がわかり、その上で何をやるべきかを考えることになります」とし、それが診断サービス全般を受ける際に留意すべきポイントの一つだとした。

報告書の指摘事項だけに対応すればOKではない

　診断サービスは万能ではない点にも注意が必要だ。

　「我々は1週間から2週間といった限られた期間でしか対象システムを見ていません。このため、システムがなぜこのような設計になっており、なぜこのような運用がされているかも完全には把握できません」

　一般論として「こうした設計は望ましくない」と指摘したり、推奨事項を提示することはできても、具体的な対策にまで踏み込むのは難しい場合もある。また修正内容も、短絡的に考えるべきではない。例えば、脆弱性が指摘されればパッチを当てて一件落着と考えがちだが、「システム全体を見渡すと、同種の問題が他にもあるかもしれない」という可能性も視野に入れ、設計の見直しのようなより根本的な対策を計画的に取るべきだとした。

　また、ゴールの設定によっても、結果の受け止め方を考慮する必要がある。決して「指摘された事項だけ直せば大丈夫」とはならない。

　「ゴールが適切でなければ、報告書に指摘された事項を直せば大丈夫ということにはなりません。報告書で提示されるのは、あくまで限られた時間内で我々が見つけた経路ですが、実際には他にも経路がある可能性があります」

　診断で指摘できるのは、あくまで、ゴールがどのように達成されうるかという一つの可能性だけ。ペネトレーションテストは「良くも悪くもスナップショット的なもの」（ルスラン氏）であり、ゴールをどう守るべきか、会社全体のセキュリティがどうなっているかは、また別の問題であるとした。

　また、一度診断を受けて終わりにするのではなく、中長期的な視点に立ち、診断・演習と修正を定期的に繰り返す形で継続していくべきだという。

　「やるからには、毎年継続して実施すべきです。ゴールを毎回同じにするか、変更するかは企業によって異なると思いますが、仮に同じゴールを設定していても、その一年の間に新たな脆弱性が出てくる可能性もあれば、システムに変更が加わる可能性もあります」

　こうした取り組みを数年にわたって積み重ねることで、セキュアな設計、パスワードの運用、パッチマネジメントやセキュリティ監視といった具合に対応を底上げしていくことができる。「自分たちはここまでやってきた」という自信が付けば、「それ以外の穴は残っていないか」をポジティブに確認できるようになっていく。

　ちなみに、様々な診断を実施してきた経験から、「日本では、外部からパブリックなIPアドレスに対してスキャンをかけるネットワーク診断は長年実施されてきた印象があります。ただ、内部に入られてしまった場合のリスクへの備えはまだまだのようです。昔は、入られた途端に管理者権限を取られ、何でもできてしまうシステムもしばしばありました」とルスラン氏は述べた。

　他にも、WebサイトやVPNなど外部に露出している部分のパッチマネジメントや認証に問題があったり、せっかく認証基盤を導入していても二段階認証を用いておらず、その上パスワードが容易に推測できるものだったり、資産管理が徹底しておらず誰が管理しているかもわからないVPN機器が存在していたり、内部ネットワークがフラットでセグメンテーションされていなかったり……と、「基本」が徹底されていないケースが散見されるという。

互いに選ぶ姿勢で選定を　ベンダー選びの考え方

前のページへ 1|2|3 次のページへ