「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か?:ITmedia Security Week 2022夏
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。
根岸氏、辻氏、piyokango氏はポッドキャスト「セキュリティのアレ」を運営中で、総務省による「サイバーセキュリティに関する総務大臣奨励賞」という形で認められた、アイティメディアのセミナーでも大変人気のあるリサーチャーたちだ。
冒頭、辻氏は「セキュリティに関する最新情報を追い掛けたり、気にしたりする人が増えてきた。『常々追い掛けていないと、置いてきぼりになるかも』と不安になる人もいるだろう。しかし、新しいことだけを追い掛けていても、見落としてしまったり、やるべきことが抜けていたりと、基礎を考えないまま進んでよいのか。今回のディスカッションでは、変わりゆく現状に追い掛けられる状況ながらいったん立ち止まり、おろそかかもしれない“基礎”が大丈夫かを確認したい」と提案した。
根岸氏も「変化が激しい今、何が変わって、何が変わらないのかに注目して聞いてもらえれば」と述べる。
意識すべき「外から見た組織」――“よろしくやってくれ”でいいの?
辻氏がまず取り上げたのは、外から見た自組織の形はどう見えているかというポイントだ。多くの組織がサイバー攻撃対策として、さまざまなセキュリティ製品を導入していることに異論はないだろう。しかし、辻氏は「やっていると思っているだけで、外からどう見えているか確認できている組織は多くはないのではないか」と述べる。
続いて辻氏は、3つの気にしてほしいポイント――「資産管理」「アクセス制御」「脆弱性管理」をピックアップする。
資産管理には、PCの所在や固定資産としての管理の他に、自分たちが管理しているIPアドレスの範囲や利用状況など、ITセキュリティの意味での管理も含まれる。
「IPアドレスが増えた、減っただけでなく、いまアクティブなIPアドレスや『どのサーバを利用しているか』など把握できているかどうかを気にしてほしい。特にクラウドはシステムを追加削除することが簡単なので、そういう部分も含めた資産管理ができているかどうかもだ」(辻氏)
システムが存在していることを把握できたとしても、それに対するアクセス制御ができているかどうかを確認することも重要だ。インターネットからの到達が可能かどうか、IDに関しては二要素認証などで制御しているかどうかなどをチェックする必要がある。
「メンテナンスの経路や、関係会社経由で侵入される事例が増えている。もちろん、信用した上で経路を作っているものだが、それでも必要なポート、IDに絞るのは基本中の基本。これについては設定したつもりだけではなく、外から定期的にポートスキャンをし、変化に気が付けるようにするとよい。その際には既に利用を把握しているIPアドレスだけではなく、所有しているIPアドレス全てに行うのがいいだろう」(辻氏)
さらに、脆弱(ぜいじゃく)性管理がここに加わる。アクセスを許可せざるを得ない通信がある中、外部に露見しているOS、サーバ、サービスの脆弱性が狙われている。例えばVPN機器が最新の状態になっていなかったために侵入を許す事例が後を絶たない。最新の状態になっているかどうかの管理が必要だ。
関連記事
- WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか
サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 - サイバーセキュリティ人気動画連載“総集編”
2015年11月10日から続けてきた連載「セキュリティのアレ」。突然ですが、今回をもって最終回となります……。最後は「総集編」として、過去全回の中から、最も反響の大きかった記事トップ10を紹介します。 - EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは
セキュリティインシデントに遭遇した後、優れた対応を取った企業や組織を表彰することで、適切な事後対応に取り組むモチベーションとしてもらうことを目的とした「セキュリティ事故対応アワード」の表彰式が2016年2月24日に行われた。
Copyright © ITmedia, Inc. All Rights Reserved.