検索
連載

脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム(4/5 ページ)

ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。

Share
Tweet
LINE
Hatena

Webサイトのセキュリティ対策は現状の「見える化」から――シマンテック・ウェブサイトセキュリティ


シマンテック・ウェブサイトセキュリティ Website Securityソリューションデベロップメントストラテジー プリセールスSE 小林聡氏

 Webサイトを狙った攻撃は後を絶たない。シマンテック・ウェブサイトセキュリティ Website Securityソリューションデベロップメントストラテジー プリセールスSEの小林聡氏は、「Webサイトの不正アクセス・改ざん・情報漏洩を防ぐ手法とその事例」と題するセッションの中で、「攻撃する側は脆弱性情報に非常に敏感になっており、対策する前に攻撃してくる」と警鐘を鳴らした。

 かつて、HeartbleedやShellshockといった脆弱性が発見されると直後に攻撃が激増したのと同じように、2017年に入ってもWordPress APIやApache Struts 2の脆弱性が公表されると、すぐにそれらを狙った攻撃が横行している。小林氏はこうした現状を踏まえ、「Webサイトセキュリティについては、PDCAの順ではなく、まず『チェック』し、可視化して現状を把握することから始めてほしい。なぜなら、攻撃されていることに気付かないケースがあまりに多いからだ」と指摘した。さらに、「Webサイトは生き物。随時デザイン変更や機能追加が行われ、新しい脆弱性が紛れ込んでしまう。従って、定期的に検査を回していくことが必要だ」と付け加えた。

 シマンテックでは、SSLサーバ証明書にバンドルする形で、Webサイトがマルウェアに感染していないかを確認する「マルウェアスキャン」と、攻撃対象になる脆弱性がないかを診断する「脆弱性アセスメント」を提供することで、この課題に取り組もうとしている。「マルウェアスキャンや脆弱性アセスメントを証明書にバンドルすることで、ある程度Webサイトの安全性を担保する」(小林氏)

 もし脆弱性が見つかればWebアプリケーションを改修することが根本的な対策となるが、予算や開発リソースの問題で、修正に時間がかかることもある。事実、情報処理推進機構(IPA)の調査によると、脆弱性の修正に91日以上の日数を要したサイトは、全体の3分の1に上る。シマンテックではそうしたサイトの防御策として、クラウド型のWeb Application Firewall(WAF)を提供している。小林氏は、はとバスやアピリッツ、自由民主党といったサイトがクラウドWAFを導入した事例を紹介し、「クラウドベースなので運用の手間、導入の手間がかからない上、守る対象がクラウドにあってもオンプレミスにあっても、どちらでも対応できる」と述べている。

分散して攻撃を仕掛けてくるDDoSには分散サーバで対処を――アカマイ・テクノロジーズ


アカマイ・テクノロジーズ Web&セキュリティマーケティング本部 プロダクト・マーケティング・マネージャー 中西一博氏

 アカマイ・テクノロジーズ Web&セキュリティマーケティング本部 プロダクト・マーケティング・マネージャーの中西一博氏は「進化するボットによるウェブ攻撃の実態と最新のサイバーリスク管理策」と題してセッションを行った。

 Webサービスの負荷分散を実現するCDN事業者として知られているアカマイ・テクノロジーズ。「Googleに次ぐ数のサーバを世界中に分散配置し、世界のWebトラフィックの15〜30%を処理している。実はこれがDDoS攻撃対策などセキュリティにも有効だ」という。

 DDoS攻撃は、大量のトラフィックをサーバに送りつけ、正常な通信を行えなくする攻撃だ。個人情報流出とは異なりニュースになることは少なくても「頻繁に起きている。また2016年は、ルーターなどIoT機器に感染するbotネット『Mirai』が登場し、大規模なDDoS攻撃を仕掛けている」(中西氏)。その上、攻撃対象はWebだけではなくDNSサーバにも広がっているため「いろいろなベクトルのDDoS対策が必要になる」と中西氏は述べた。アカマイでは、こうした状況に対し「Kona Site Defender」というDDoS緩和策を提供している。攻撃を検知するとエッジサーバ側で跳ね返し、レートコントロールなど多層的な仕組みでサービス継続を支援する。

 2017年春、Apache Struts 2の脆弱性を突いた攻撃が相次いだことは記憶に新しい。「事業規模に関係なく、穴のあるところから狙われる」と中西氏は述べ、Webの脆弱性を狙う攻撃に対する防御策が必要だとした。特にFinTechなどの潮流を背景に、より便利なサービスの実現に向けてREST APIを公開するサイトが増えるにつれ、「APIもまた頻繁に攻撃されるようになった。APIの裏側には重要な情報があることが多い。これも穴にならないよう対策が必要だ」(中西氏)。そこでKona Site Defenderの新バージョンには「APIプロテクション」が追加されている。

 中西氏は最後に、いわゆるサイバー攻撃には分類されないが、転売など迷惑行為を行うbotが増えていることに触れ、「Bot Manager」によってこうしたアクセスを「いなす」ことができると説明。今後もさまざまなCDNベースのセキュリティソリューションを提供していくと述べている。

リアルタイムな管理が「サイバーハイジーン」を実現する――タニウム


タニウム テクニカル アカウント マネージャ 梅原鉄己氏

 講演「サイバーハイジーンの考え方・実践方法」にはタニウム テクニカル アカウント マネージャの梅原鉄己氏が登壇した。

 近年のITセキュリティでは、「サイバーハイジーン(衛生・予防)」という単語が注目されている。脅威の検知や調査・対処、フォレンジックといった従来のエンドポイント・ディテクション&レスポンス(EDR)に加えて、不正端末のスキャン、パッチ管理、脆弱性評価、コンプライアンスチェックなどを実行して、エンドポイントの“衛生”状態を保ち、サイバー攻撃による被害を“予防”するという取り組みだ。

 梅原氏によれば、現在の99.9%のサイバー攻撃は、1年以上も前に認識されていた既知の脆弱性が狙われているという。中には、1999年に公表されていたものさえあったとのことだ。つまり、既知の脆弱性・攻撃に対する予防が非常に重要ということである。しかし、こうした脅威に対してサイバーハイジーンを実現するには、多数のエンドポイントから情報を集め、高速にアップデートを行わなければならない。

 「従来のハブ&スポーク型のアーキテクチャでは、大規模なエンドポイント環境をリアルタイムに把握することが困難で、運用コストも肥大化してしまいます。タニウムでは、新しいネットワークアーキテクチャを開発し、こうした問題を解決している」(梅原氏)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る