「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か？：ITmedia Security Week 2022夏

ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを　ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。

[宮田健，＠IT]

　根岸氏、辻氏、piyokango氏はポッドキャスト「セキュリティのアレ」を運営中で、総務省による「サイバーセキュリティに関する総務大臣奨励賞」という形で認められた、アイティメディアのセミナーでも大変人気のあるリサーチャーたちだ。

　冒頭、辻氏は「セキュリティに関する最新情報を追い掛けたり、気にしたりする人が増えてきた。『常々追い掛けていないと、置いてきぼりになるかも』と不安になる人もいるだろう。しかし、新しいことだけを追い掛けていても、見落としてしまったり、やるべきことが抜けていたりと、基礎を考えないまま進んでよいのか。今回のディスカッションでは、変わりゆく現状に追い掛けられる状況ながらいったん立ち止まり、おろそかかもしれない“基礎”が大丈夫かを確認したい」と提案した。

　根岸氏も「変化が激しい今、何が変わって、何が変わらないのかに注目して聞いてもらえれば」と述べる。

意識すべき「外から見た組織」――“よろしくやってくれ”でいいの？

　辻氏がまず取り上げたのは、外から見た自組織の形はどう見えているかというポイントだ。多くの組織がサイバー攻撃対策として、さまざまなセキュリティ製品を導入していることに異論はないだろう。しかし、辻氏は「やっていると思っているだけで、外からどう見えているか確認できている組織は多くはないのではないか」と述べる。

　続いて辻氏は、3つの気にしてほしいポイント――「資産管理」「アクセス制御」「脆弱性管理」をピックアップする。

　資産管理には、PCの所在や固定資産としての管理の他に、自分たちが管理しているIPアドレスの範囲や利用状況など、ITセキュリティの意味での管理も含まれる。

　「IPアドレスが増えた、減っただけでなく、いまアクティブなIPアドレスや『どのサーバを利用しているか』など把握できているかどうかを気にしてほしい。特にクラウドはシステムを追加削除することが簡単なので、そういう部分も含めた資産管理ができているかどうかもだ」（辻氏）

左から根岸氏、piyokango氏、辻氏

　システムが存在していることを把握できたとしても、それに対するアクセス制御ができているかどうかを確認することも重要だ。インターネットからの到達が可能かどうか、IDに関しては二要素認証などで制御しているかどうかなどをチェックする必要がある。

　「メンテナンスの経路や、関係会社経由で侵入される事例が増えている。もちろん、信用した上で経路を作っているものだが、それでも必要なポート、IDに絞るのは基本中の基本。これについては設定したつもりだけではなく、外から定期的にポートスキャンをし、変化に気が付けるようにするとよい。その際には既に利用を把握しているIPアドレスだけではなく、所有しているIPアドレス全てに行うのがいいだろう」（辻氏）

　さらに、脆弱（ぜいじゃく）性管理がここに加わる。アクセスを許可せざるを得ない通信がある中、外部に露見しているOS、サーバ、サービスの脆弱性が狙われている。例えばVPN機器が最新の状態になっていなかったために侵入を許す事例が後を絶たない。最新の状態になっているかどうかの管理が必要だ。