サイバーセキュリティは「弱みにつけ込む行為」への対策である(第1回)
コラムはじめに
日本におけるサイバー攻撃は、ここ数年で量・質ともに深刻化しており、市民の生活に影響を及ぼす事態が散見されるようになってきました。
ところが、ほとんどの公的機関や企業において、深刻化するサイバー攻撃に適合したセキュリティ対策が取られていません。その理由の大半は「予算とリソースの制約」「セキュリティ意識の欠如」「専門人材の不足」などとされています。これに加え、筆者がランサムウェア感染対処の支援活動で強く感じるのが、被害組織に漂う「無意識の既決感の疲弊」です。
これは、過去において低レベルかつ場当たり的なサイバー攻撃が主流だった頃、ベンダーが推奨するソリューションの導入によって防ぐことができたという成功体験に固執し、その後の変革に対して否定的な感情が組織全体に浸透している状態のことです。前例主義や事なかれ主義の考え方から脱却できず、強い問題意識を感じるはずの現場社員にも、最初から無力感が付きまとっています。その組織の経営層の一部(勉強会で発言や質問をしない役員など)では、過度な正常性バイアスまで見受けられます。
サイバー攻撃に対する徹底的な理解
このような状況を打破して、サイバー攻撃から組織の業務や事業を守るためには、サイバー攻撃に対する徹底的な理解をした上で、適切に恐れ、または適度に怒りを感じることが重要です。これが、組織を守るためのサイバーセキュリティ対策の出発点となります。この徹底的な理解にあたっては、サイバーセキュリティの概念やいくつかの専門的用語が必要となりますが、これらを分かりやすい言い回しや身近なものに例えることができます。
例えば、サイバー攻撃者が行う不正侵害の一つに「エクスプロイト(Exploit)」という概念があります。これは、「システムやソフトウェアの脆弱性を悪用して本来の意図されていない方法でそのシステムやソフトウェアを操作する」ことですが、一般のIT利用者にとっては、感覚的に理解することが難しいかもしれません。これを、家のセキュリティに例えた説明や、語源に着目した解説にすることで、腑に落ちやすくなると思います。
「エクスプロイト(Exploit)」の例え話
- あなたの家にはドアや窓があり、通常、家の出入りや空気の入れ替えのための正規の方法として利用されています。しかし、もしドアの鍵が壊れていたり、閉じたはずの窓に隙間があったりすれば、それは家の「脆弱性」となります。泥棒はこれらの脆弱性を見つけ出し、正規の方法ではなく、隙間や壊れた鍵を利用して家に侵入します。
- コンピューターの世界におけるエクスプロイトとは、この「家に侵入する泥棒」のようなものです。コンピューターシステムやソフトウェアには、ドアや窓のようにアクセスするための正規の方法がありますが、時には隙間(脆弱性)が存在することがあります。サイバー攻撃者(泥棒)は、これらの脆弱性を見つけ、悪用してシステムに侵入し、本来許可されていないことを行うのです。
「エクスプロイト(Exploit)」の語源
- 「exploit」の語源は、ラテン語の「explicare」に由来します。これは「展開する」「解き明かす」などの意味を持ちます。この言葉は中世フランス語を経て、「exploiter」という形で英語に取り入れられました。当初は「利用する」「活用する」という意味で使われていましたが、時間が経つにつれ、「特定の目的のために能力や資源を最大限に活用する」というニュアンスが強まりました。
- コンピューター分野における「exploit」の用法は、脆弱性やバグを「利用する」または「活用する」ことから、この語源に基づいています。つまり、コンピューターシステムの弱点を見つけ出し、それを利用してシステムをコントロール下に置く行為を指します。この意味での「exploit」は、システムの設計や実装の弱点を「解き明かし」、「展開する」ことに由来すると言えるでしょう。
このような概念的な理解をすることで、社内外のサイバーセキュリティ専門家から説明を受けた際、「エクスプロイト」というキーワードで、頭の中で「泥棒が家の窓の隙間や壊れた鍵を悪用している」というイメージが沸きます。とるべき対策は、窓の隙間や壊れた鍵を修繕するといった対処以外に、「なぜ窓の隙間や壊れた鍵が放置されていたのか」という疑問を持ち、今後放置されないようにするための継続的な努力の必要性を感じるはずです。
また、サイバー攻撃者はエクスプロイトに成功して不正侵入した後、泥棒と似た不法行為を行います。これを「ポストエクスプロイト(Post-Exploit)」と言い、次のような例え話で説明できます。
「ポストエクスプロイト(Post-Exploit)」の例え話
- 家に侵入した泥棒は、ただ入るだけで満足するわけではありません。家の中で何ができるかを探り、価値のあるものを探し、場合によっては他の部屋にも侵入して、長期間居座る方法を模索します。
- 泥棒(攻撃者)は、まずあなたの家(システム)に侵入し、その後さまざまな活動を開始します。彼らは家の中でより良い隠れ場所を見つけ(立場を強化)、家の中にあるもの(情報)を調べ、鍵やセキュリティコード(パスワードや認証情報)を手に入れ、家の他の部屋にも侵入しようとします(ラテラルムーブメント)。場合によっては、家のセキュリティシステムを変更して、自分たちの出入りを容易にし(バックドアの設置)、長期間にわたって監視や盗みを続けることができるようにします(権限昇格)。
理解に基づく対策アイテムの導出
以上のような例え話を眺めると、サイバー攻撃と言われるものは、サイバー攻撃者が「エクスプロイト」から「ポストエクスプロイト」に移行する形で展開されるものと見なすことができます。私たちは、この行動の流れや特徴に着目した上で、取るべき対策アイテムを導出する必要があります。
具体的には、次のようになります。(正確を期するために専門的な用語を含めています。組織内のセキュリティ担当部門が日々苦労されている学習コストの一部であると捉えてください。)
家(システム)に侵入されないようにする。
- 【導出されるサイバーセキュリティ対策】(スピア)フィッシング攻撃、エクスプロイトキット利用、ドライブバイダウンロード攻撃、物理的なアクセス(悪魔の双子攻撃を含む)、ソーシャルエンジニアリング、パスワード攻撃、サプライチェーン攻撃、未修正のソフトウェア脆弱性を利用する攻撃等が発生する環境や要因を作らない。
侵入後に利用される「隠れ場所(立場を強化できる場)」を作らない。
- 【考えられる対策】アクセス制御の強化、監視とアラートの強化、エンドポイントの保護、物理的なセキュリティの強化、セキュリティ意識の向上などを継続的に実施する。
家の中にあるもの(情報)を調べる行為を困難にする。
- 【導出されるサイバーセキュリティ対策】データの暗号化、アクセス制御の強化、監視とアラートシステム、定期的なセキュリティチェック、従業員の教育とトレーニングなどを継続的に実施する。
鍵やセキュリティコード(パスワードや認証情報)を守る。
- 【導出されるサイバーセキュリティ対策】強固なパスワードの使用、多要素認証の導入、認証情報の暗号化、アクセス権限の管理、セキュリティ教育と意識向上、アクセス試行の監視と制限などを継続的に実施する。
家の他の部屋にも侵入しようとする行為(ラテラルムーブメント)を困難にする。
- 【導出されるサイバーセキュリティ対策】システム内で、異なる部分へのアクセスに異なる認証を要求する(部屋ごとに鍵をかけることに相当)、ネットワークの監視と異常検出システムを導入(監視カメラやセンサーの設置に相当)、ネットワークセグメンテーションを適用(複数の障壁を設置することに相当)、適切なアクセス権限の設定(家族や訪問者に対して特定の部屋へのアクセス権限を限定することに相当)などを実施する。
家のセキュリティシステムが変更されて泥棒の出入りが容易になる状態(バックドアの設置)を作らせない。
- 【導出されるサイバーセキュリティ対策】定期的なセキュリティ監査と評価、侵入検知システム(IDS)の導入、アクセス制御の強化、ファイアウォールの最適化、セキュリティパッチの迅速な適用、異常行動検出システムの利用、多要素認証の導入などを実施する。
長期間にわたって監視や盗みが続く(権限昇格)状態を作らせない。
- 【導出されるサイバーセキュリティ対策】多要素認証の導入、最小権限の原則(Principle of Least Privilege, PoLP)の適用、定期的なパスワード変更と強固なパスワードポリシーの実施、アクセスログとモニタリングの強化、セキュリティパッチの定期的な適用、セキュリティ研修と意識向上プログラムなどを実施する。
おわりに
サイバーセキュリティ対策は、一度構築すれば終わりというものではありません。サイバー攻撃者は常に新しい手口を考案し、私たちのシステムの弱点を突こうとしています。だからこそ、私たちは常に警戒し、システムを更新し、セキュリティ意識を高く保ち続けなければなりません。
サイバー攻撃は、私たちの弱みにつけ込む行為です。しかし、その弱みは技術的な側面だけではありません。組織の意識の低さ、専門知識の不足、リソースの制約など、人的な側面にも多くの弱点が存在します。サイバーセキュリティ対策の真の強化は、これらの人的な弱点を克服することから始まります。
経営層は、サイバーセキュリティの重要性を深く理解し、十分なリソースを割り当てる必要があります。IT部門は、最新のセキュリティ技術を習得し、システムを常に最適な状態に保つ努力を怠ってはなりません。そして、全従業員がサイバーセキュリティに対する高い意識を持ち、日々の業務の中でセキュリティを実践していくことが求められます。
サイバー攻撃の脅威は日々進化していますが、私たちが組織全体で協力し、弱点を克服していく努力を継続する限り、私たちはこの脅威に立ち向かっていくことができるはずです。サイバーセキュリティは、単なる技術的な問題ではありません。それは、組織の全員が参加する、継続的な取り組みなのです。
※本内容の引用・転載を禁止します。