脆弱性診断技術やサイバーセキュリティに関する情報を発信するブログメディア

ツール、運用、組織体制、コスト──経営バランスの中で実現するセキュリティの難しさ

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第14回をお送りします。


川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。

2020年7月31日(金)に、イエラエセキュリティ主催にて組織におけるセキュリティ対策セミナー「川口洋座談会ウェビナー第1回」を開催しました。本ウェビナーは、CIO、CISOとして活動されている方またはCSIRTに興味がある方を対象に参加者を募集し、当日は約100名の視聴者にご参加頂きました。

 

顧問、川口洋がモデレーターとなり、スピーカーとして登場したのはイエラエセキュリティより高度解析部 ペネトレーションテスト課 課長のルスラン・サイフィエフ、事業推進部 事業推進課 課長の鈴木 正泰。そしてゲストとしてグローバルセキュリティエキスパート株式会社 CSO兼CSROの萩原 健太様にお集まりいただきました。ペネトレーションテストの実際やCSIRTとの連携、ペネトレーションテスト実施後の社内体制の見直し方など、ウェビナー座談会で語り合った内容を2回に渡ってご紹介していきます。

イエラエセキュリティ顧問/株式会社川口設計 代表取締役

川口 洋

2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。

株式会社イエラエセキュリティ 高度解析部 ペネトレーションテスト課 課長

ルスラン・サイフィエフ

ロシアにてシステム管理者/セキュリティエンジニアとして勤務した後、2013年より日本にてWebアプリケーション、ネットワーク、API、自動車などの脆弱性診断業務に従事。2018年2月にイエラエセキュリティに入社し、高度解析部にてペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証などを担当。Offensive Security Certified Expert (OSCE)、Offensive Security CertifiedProfessional (OSCP)、GIAC Exploit Researcher and Advanced Penetration Tester(GXPN)、Offensive Security Exploitation Expert (OSEE)な ど の 資 格 を 持 ち 、SANS NetWars Tournament 2017、FUKUSHIMAHackathon 2017、Medical × Security Hackathon 2015などのCTFにて受賞多数。

株式会社イエラエセキュリティ 事業推進部 事業推進課 課長

鈴木正泰

大手システムインテグレータで、主にサイバーセキュリティ関連の業務に従事。
脆弱性診断・ペネトレーションテストなど”攻撃側”だけではなく、セキュリティリスクマネジメント部門にてCSIRT・社内セキュリティ規程整備・セキュリティ事故対応など”防御側”も対応。
イエラエセキュリティでは、経験をもとに、脆弱性診断・ペネトレーションテスト・フォレンジックなどの各種案件の要件定義・PM業務を中心に、サービス立案・アドバイザリ・CSIRT支援関連のサービスなども担当。

グローバルセキュリティエキスパート株式会社 事業戦略室 CSO 兼 CSRO

萩原健太

CSIRTをはじめとした組織的なセキュリティ対策の助言や講演活動を数多く行い、サイバーセキュリティの普及や業界発展のための活動を行う。日本シーサート協議会副運営委員長、日本ネットワークセキュリティ協会幹事、コンピュータソフトウェア協会セキュリティ委員会副委員長、Software ISACのリーダーなどを務める。

本記事の収録動画を公開中

イエラエセキュリティ川口洋座談会 ウェビナー 第1回

気になっている事は「ゼロトラスト」「サプライチェーン」「ランサムウェア」

川口洋(以下、川口):イエラエセキュリティの顧問で、川口設計株式会社代表取締役の川口洋です。今日はモデレーターとして出演者にいろいろ話題を振っていきますので、お楽しみに。出演の皆様、それぞれ自己紹介をお願いします。

サイフィエフ・ルスラン(以下、ルスラン):イエラエセキュリティのルスランと申します。ペネトレーションテスト課の課長で、執行役員でもあります。実務としてはペネトレーションテストやレッドチーム系の案件を担当しています。

鈴木正泰(以下、鈴木):鈴木正泰と申します。イエラエセキュリティの事業推進部事業推進課の課長をやらせて頂いております。脆弱性診断やフォレンジック等、各種案件の要件定義やPM業務を中心にやっています。イエラエは尖ったエンジニアがかなり多いので、エンジニアを組み合わせたサービスの推進も行っています。最近だとパープルチームやCSIRT支援関連のサービスを担当しています。

萩原健太(以下、萩原):グローバルセキュリティエキスパート株式会社(以下、GSX)、CSO兼CSROの萩原です。GSXはサイバーセキュリティ教育協力カンパニーとして脆弱性診断や教育を行っています。私自身はGSXと、親会社であるビジネスブレイン太田昭和(BBS)に出向して主に経営戦略を作ることをしています。専門はサイバーセキュリティではなく公共政策でございまして、今日は技術者に囲まれて戦々恐々としています(笑)。

川口さんから「最近気になること」というお題を頂きましたので、自己紹介兼ねて少しお話しさせてください。キーワードの1つ目は「ゼロトラスト」です。セキュリティというと境界防御で安心してしまって、壁の内側では監視がされておらず自由に動けることが多いですが、実は中には悪者がいて、侵入者も自由に動ける環境になっていることが多いです。これからどこでも働ける在宅勤務日常時代になっていき、クラウド利用が進むという観点からは、いろんなところを信用せず監視をしていく必要があります。常に個人のデータや端末を確認することが非常に大事ですね。

2つ目は「ソフトウェアサプライチェーン」(ソフトウェア供給連鎖)のリスクマネジメントについてです。多重下請け構造という根本的な経済構造を理解した上でこういった対策をしていかなければならないなと思っています。プロダクトに脆弱性が見つかったと言われたときに原因究明するのも大変ですし、色んなセキュリティをもっと早いタイミングから考えていかなければならない。日本のソフトウェア産業をどうやって守っていくべきなのかというところですね。

3つ目は「ランサムウェア」。Wannacry、EKANS(Snake)、EMOTET…と最近色々出て来ていますし、減ることなく、話題にもなっていると思います。いちいち一喜一憂しなければならないのかという葛藤があります。

プラスアルファとしましては、CIO、CISOが必要なのかどうか。CIOというと情報システムだけに閉じこもっているのが日本なのですが、むしろデジタルトランスフォーメーションを担うCDO、DXOがISOを考えるということにしていかないとダメなんじゃないのかなと最近思っています。

マルウェア侵入事例の勉強に最適!「日本年金機構」のレポート

川口ランサムウェアどうするのかというのはよく相談を受けますね。鈴木さん、イエラエには相談来るんですか?

鈴木感染してしまったんだけどどうしたら良いでしょう、という相談は結構来ていますね。復旧が結構難しいものなので、いかに被害を最小限に食い止めるかということが主眼になってくると思います。

ルスランランサムウェアも、侵入した後に得る情報は何らかしらお金にするためのものなんですよね。個人情報だけではそこまでお金にはならないと思いますが、ランサムウェアを実行することで全て暗号化してしまうことで、より“高く”売れる可能性が出てくるのかなというところはありますね。

川口組織の中に何百台、何千台とあるパソコンのたった1台やられても大した話じゃないと思いがちですが、それでも組織全体がやられてしまうということは、ただのウイルス感染の話に留まっている問題ではないですよね。

鈴木アクセス制御については細分化していない企業さんが多いかもしれないですね。フラットに全部いけます、ということになっていたりして…。

萩原ユーザー企業さんは分かってないんですよね。SIerさんに依存して導入しているから、設計はしているんだけど思想の部分追えているかというと追えていない部分があったりする。本当は根本的にネットワークやシステム構築を見直さなきゃいけないんですけどね。

川口そういう話になると必ず「何か勉強するのにいいものないですか」って聞かれるので、僕は必ず「2015年の日本年金機構がやられた時のレポートを読んでください」と言っているんですよ。日本年金機構、厚生労働省、NISCと3つのレポートが出しています。この3本のレポートをちゃんと読んでほしいですね。

ルスランセグメンテーションを作ってあると思っている会社さんでも、そうなっていない事例はとても多いパターンですね。設計上はそうなっていても、テストを1回も受けていなければ実際に分離されているかどうかは分かりませんから。

擬似マルウェアを利用したイエラエの診断サービス

川口イエラエでは擬似マルウェアを端末に入れて診断するサービスがあるんですよね。(詳細については12回目の座談会「擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!」を是非ご参照ください)

ルスランマルウェアが既にデバイスに入っているということを前提に行うサービスで、今までレッドチームであるとかペネトレーションテストをやったことがないタイプの会社にはオススメの方法になります。

川口ルスランさんから渡されたウィルスを開いた時に、本来なら、アンチウィルスソフトや監視でパシッと止めて欲しいわけですよね。それが通ってしまって、デバイスがルスランさんのコントロール下に置かれてしまう。これだけで普通の組織からしたら大変な騒ぎだと思います。

ルスラン攻撃者のイニシャルアクセスから、外部に通信が流れてしまっていることを会社側がEDRなど使っていかに早く見つけられるかどうかというのが重要ですね。

川口やり口としては年金機構の時と同じなんですが、防ぎ切ろうと思うと難しいですね。擬似ウィルスを送ったあと、CSIRTやSOCと連携しないといけないと思うんですが…それはどうされてるんですか。

ルスラン会社によりますが、CSIRTやSOC等どこにも言わない状態で始めてみて、誰かが気付いて大騒ぎになりそうなギリギリのところまでやって、「これはペンテストテンペストでした」と教えるということはあります。会社の全員がテストのことを知っていて始める場合もあります。

SOC等に知らせずに始める場合は、より静かに、検知されずにどこまで何ができるのかということを探るのがポイントになっています。SOC等がどのくらいの時間で対応できるのかということを測る意味合いも出て来ますね。マルウェア型ではなくフィッシング型のテストの場合は、この意味合いがより強くなります。

会社によっては、アンチウィルスソフトが検知してログをあげたのに、そのログを誰も見ていないということがあったりするんです。ツールは入れたのにそれをうまく動かせていないということはありますね。

コスト優先のセキュリティ運用で、大事なものを明け渡さない為に

川口僕が見た外部委託事例で「これはまずいな」と思ったもののひとつは、アンチウィルスソフトを導入して、アップデートもするけど、アラート内容を報告するという契約内容になっていなかったんですね(笑)。ですから皆さん、契約書を今一度見直して頂いて。「運用する」って書いてあっても「報告する」とは書いてない場合がありますから。

「こんなのおかしいでしょ、アラートに上がっているなら報告するべきでしょ」と思いますけど、お支払いしているお金を拝見すると、あまりに渋くて、契約書に書いてある以上のことを要求できないな・・・という金額だったんです。これは依頼側の「運用費用を値下げしたい」という安易な希望から、年々要件を削っていったらこうなった、という経緯だったんですね。

要件を削ってもいいとは思うんですが、削ってはいけないものが何なのか分からないと事故が起きてしまうと思うんですね。

萩原コスト優先でセキュリティをやっているところは、そういった契約は多いと思いますね。「運用事業者に投げとけばいい」と思っている。

ルスラン外部の運用会社が会社のシステムを全部把握していないということもありますね。業務範囲ではチェックしてくれていても、隣にあるシステムを知らなかったり、変わったシステムが中にあることに気づかなかったり。中の運用者しか知らないシステム、使っていないシステムがあったりもしますよね。

川口端末を管理している事業者とネットワークを管理している事業者が別、ということはよくありますよね。その連携がされていないということはあるでしょうし、ましてSOCがアウトソーシングされていたら中の業務なんてわからないですよね。

萩原本来CSIRTというのはアウトソーシング先まで含めて全体を考えないといけないんですが、結局自社の中の情報システムで収まってしまっていることが多いですね。そうすると結果的に後手後手の対応になってしまいます。

ルスランCSIRTなどは上のレイヤでものを見ていることが多くて、具体的なレベルでは分かっていないことが多いですよね。「私たちにはこういう守らなければならない資産があります」となった時に、そこの部分、そこのネットワークしか知らない。そこだけを守ればいいと思ってしまっている。

実は深く掘っていくとそのネットワークにいろいろセグメントがあって、いろいろサーバがある。それらがどう繋がってどう走っているかは運用しているエンジニアしか知らないということがありますよね。そうなると「自分たちはここを守っている」と思っていても、管理者が自分たちの為のルートを残してしまったとか、正規ルート以外のルートが守られていなかった、ということはありますね。

セグメントを分離し、アラートのレベルを分けることから始めよう

鈴木監視する時に、事業セグメントと汎用セグメントというのはアラートのレベルを変えてもいいと思うんですよ。「ここが最重要セグメント」とレベルを変える。

ルスランそれはユーザーという視点でも同じですね。結局「攻撃が入る」というのは実行ファイルが実行されてしまうか、Officeのマクロじゃないですか。

萩原確かにその通りです…。

ルスラン例えば新入社員やアルバイトさん達など、もしOfficeのマクロをあまり使わない人たちがいるんであれば、その端末を別グループにしてマクロ使うのを禁止するということをしていかないと難しいですね。

川口厄介なテーマが出てきましたね、Officeのマクロは本当に色々なセキュリティ製品を抜けてくるから面倒臭いですよね。業務上便利ではあるんですが、全社員が一律に実行できるべきかは考える必要がありますよね。

萩原情報に優先度を付けて守った方がいいという話がありましたが、まず重要度を付けられていないことが多いですよね。「重要度1」「重要度2」「重要度3」てなんとなく付けていても、蓋を開けてみたら「いや、全部重要です」となることはありますよね。そうなると、どこを守るべきなのかという定義がちゃんとされていないということになります。これが根本的な問題です。データも整理されていないのに「ゼロトラストやろう」というわけのわからない状態になっているんですよね。

ルスラン「どれが1番守りたい情報資産ですか?」と質問すると、わからない企業さんもたまにありますね。分かっているところは、そこは分離して監視して、例えオフィスネットワークに入られたとしても、その分離したところに行こうとしたらすぐバレる、見つかる、というところまで持っていければいいと思いますけどね。

萩原よく中小の経営者と話すと「うちに“情報”なんて無いから大丈夫だよ!」と仰るんですね。ただ情報の価値というのは本人ではなくて、外からの攻撃者が見つけるもの、判断するものなんです。そこを理解した上で対策して欲しいですね。そういう意味でも外部からの侵入テストというのは大事だと思います。入られちゃっても、そこで気付けてよかったじゃないですか。

侵入者の行動をトレース出来ていない現状、多数

ルスランテストを行った後には報告会をするんですが、そこでやったテストや侵入について報告して、SOCが未検知であるかどうかを確認して、ではどう対策したらいいかということを話し合い、会社としては新しい監視を入れられるようにしていく。分離が悪かったとか共通パスワード等の問題もあれば、それも報告書に入れて「直していきましょう」と提案します。

鈴木最近始めたサービスで好評なのは、ログのトレーサビリティの向上を目的としたものですね。ルスランさんにお客様の環境を攻撃してもらい、目的を達成してもらうんですが、それが終わった後に「ルスランさんがやったことを説明してみてください」とお願いするんです。そうすると入り口のところしか分からなかったり、持ち出されたところしか説明できなかったりして、じゃあ何をやっていったのかという時系列を一旦答え合わせしてみましょう、と。そこで説明能力の向上ができます。

もう1点は、検知ポイントとしてどこが自分たちにとって大事だったのかというのを知ることですよね。「なんでここが守れてないんだろう」というポイントが結構あったりするんですよね。

川口これはよくある!というポイントを敢えて絞って教えていただけますか。

鈴木例えば認証ログとかも見ていなかったりするんですね。認証は運用が難しいんだと思います。例えば夜中に認証エラーが来たりしていても「この時間に、なんでこの人ここに入っているんだろう」というようなことまでは見れていないというのが多いですね。

ルスラン良い例では、ある会社さんが自作ツールを作って、イベントログを取って、変なログがあればアラートを出しているのを見たことがあります。とてもいいと思いましたね。

対策を一度に全部やるというのは無理だと思いますので、少し分離してやるというのが1番大事なことになってきますね。例えば権限を分けるにしても、ドメインコントローラーや重要なサーバー、次がアプリケーションサーバーやファイルサーバー、そしてユーザー系の端末と分ける。重要なサーバーに入るために権限は変える必要がありますし、逆に上位のサーバーに入れる権限でユーザー端末に入れないようにすることも必要です。

組織内の力関係が、セキュリティ実現にも大きな影響を及ぼす

ルスラン管理をしている人のほとんどは「動くこと」が最優先事項になってしまっているんですね。セキュリティを上げていくというのは「動きにくくすること」でもあるので、バランスがとても難しいのだと思います。

川口中小の組織だと、管理者に対して牽制することを求めることそのものが難しいかもしれませんね。ただある程度組織が大きければSOCやCSIRTを持っているわけですから、組織だってやるということになってくるかとは思うんですが。

萩原その管理者としてやって来た人達が実は元営業で、セキュリティ知識がないままその役職になってしまうというのもよくあることなんですよね…ローテーション人事とかで。大企業になればなるほどありますよね。3年くらいである程度知識を得ていただいて、これからようやく一緒に検討していけるようになる…!というタイミングで移動されてしまったり。

ルスラン運用、セキュリティ、SOCの間での立場の違いによる争いや、開発者と管理者の力関係でも変わって来ますよね。ですからポリシーをいろいろ考えていかないといけないところですね。

川口開発者の端末から、ステージングじゃなくて本番用のDBを触れる会社って結構あると思うんですよ。それが開発者にとって効率はいいんでしょうけど、それでいいのかと。いま、ウェビナーのチャットにも「ドキッ」と書かれている視聴者の方がいらっしゃいますね(笑)。

萩原本来CSIRTは全体を見なくてはいけないんですが、開発環境は見ていなかったりすることがありますね。

川口なんでCSIRTまで作っておいて「そこは関係ない」ってなっちゃうんですかね?

萩原「とりあえずCSIRTを作る」ということが先行してしまっているんですよね…ここ数年、いや、ずっとかな…。

川口まずはCSIRTを作っていないと立場上よろしくない、ということですね。

萩原はい、それで一時期「日本シーサート協会(NCA)」に沢山の企業さんが一度に入ってこられた時期がありましたね。

CSRIT、作っただけで安心していませんか?

川口NCAといえば、そういえばイエラエも最近入ったとか。

鈴木はい、ようやく。私がPoCやらせて頂いています。ただ、まだちょっと、運用が本格的に始められていないんですけど…社内がアラート源だらけなんで、もう、どうしようかなって…

川口そうですよね、ルスランさんのネットワーク監視したら攻撃ばっかりしているわけですからね。大丈夫かなっていう通信が沢山出ていく事業特性ですから、難しいですね(笑)。

とはいえ、ようやくですね。萩原さんのご尽力のおかげで。よろしくお願いします。今、NCAは何千社くらい入っているんですか?

萩原いえいえ、まだそんな…400社くらいです。

川口萩原さんはNCAで何を担当されてるんですか?

萩原私は法制度研究WG、工場セキュリティWGというのを持っています。

川口工場ですか。CSIRTというよりもPSIRTの領域ですね。

萩原本当は分けなくてもいいと思うんですよ、CとかPとか。でも日本はやはり縦割りなので、担当役員が違うと違う組織になってしまうんですね。CSRITは情報システム、PSIRTは製品の品管、工場は工場長…結局、それぞれに対応して役割が必要になってくるんですね。

川口本来であればちゃんと経営層がやるべきなんですけど、自分の部門はできるけど他の部門に口出しできない、という社内の体制だったりすると悩ましいですよね。あ、だから萩原さんは経営的な活動を色々と…

萩原経営者にとってセキュリティっていうのはほんの一部に過ぎないですし、それだけを考えるなんてことは出来ないのはわかっているんです。その中でいかにセキュリティのエッセンスを差し込んでいくか。最近は「危機管理ですよ」「BCPですよ」とか言ってねじ込んでいく感じですね。

(後編に続きます)

本記事の収録動画を公開中

イエラエセキュリティ川口洋座談会 ウェビナー 第1回

セキュリティ診断ならお任せください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
国内トップクラスのセキュリティエンジニアが診断を行います 。

ホワイトハッカー

セキュリティ診断
ご相談はこちら