piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ:特集:1P情シスのための脆弱性管理/対策の現実解(2)
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。
脆弱(ぜいじゃく)性が企業組織に与える影響は、想像よりも大きく、想像よりも“面倒くさい”状況にある。そもそも「脆弱性」という言葉の認識も、もしかしたら人によって大きく異なり、対処を想定していない脆弱性が存在する可能性もある。
インシデント情報をまとめ記録する「piyolog」を運営するpiyokango氏は、脆弱性にまつわる事件を観測し続けてきた。前編に続き後編では、その知見から“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方を聞いた。
“ハードウェア”も狙われる
――徳島県つるぎ町立半田病院では、VPN機器の脆弱性が狙われ、大きな事件となりました。CPUにおける「Spectre」をはじめ、ハードウェアおよびハードウェアに近い部分の脆弱性が狙われることもあるかと思います。
piyokango氏 最近ではSpectreに似た脆弱性として、「Retbleed」も話題になっています。脆弱性対応の面から難しいと感じるのはこういったハードウェアに起因する脆弱性の情報が明らかになったとき、影響を受ける人が「当事者である」という意識を持ちにくいのではないかということです。
ハードウェアの脆弱性が公開された場合、多くはハードウェアベンダーから修正版のファームウェアのアップデートが公開され、対応となるわけですが、利用者に直接製品を提供するベンダーと製品の開発元のベンダーが異なる場合があります。利用者に直接製品を提供するベンダーが最新のファームウェアを検証する必要があるので、利用者の手に渡るようになるまでに時間を要することも珍しくありません。そしていざアップデートが公開されたときには、対応の発端となった話題も収束していることがあり、「これはいったい何だろう?」となってしまいかねません。
またWindowsのように自動的にアップデートされない場合は、十分な周知がされなければ利用者が脆弱性の修正を行わなかったり、対応が遅れたりすることがあります。
つるぎ町立半田病院がランサムウェアの被害に遭ったインシデントでは、VPN機器の脆弱性に起因する可能性が指摘されていましたが、脆弱性は2019年に修正版が公開されており、さらには2021年9月にVPN機器の認証情報が流出していました。私も審査員として参加している、「情報セキュリティ事故対応アワード」ではつるぎ町立半田病院の関係者にその当時のお話を伺っています。
- 【第7回】情報セキュリティ事故対応アワード | TECH+(テックプラス)
- 災害対応訓練がランサムウェア被害にも活きた - 徳島・半田病院に学ぶBCPの重要性[事故対応アワード受賞] | TECH+(テックプラス)
このインシデントで課題を1つ挙げるとすればVPN機器を含む保守対応を明確にしておくべきだったという点です。当事者間において契約範囲や責任の分界点など十分に整理、検討されていなかったのではないかと推察しますが、このインシデントの以前も保守管理が十分ではない機器に起因したセキュリティインシデントがたびたび起きており、つるぎ町立半田病院も特異な事例ではないと思います。このインシデントを踏まえ、自組織で適切な時期に把握すべき情報を受けて担当者が対応できているかどうかについて“点検”すべきではないでしょうか。
またハードウェアの脆弱性情報はポータルサイトにログインして見に行かねばならなかったり、保守契約を結んでいないと情報を入手できなかったりとさまざまでしょう。代理店とのコミュニケーションが必要になることもあります。「検索して出てくる」というものばかりでもありません。脆弱性情報における「コミュニケーションチャネルが正しく機能しているか」について先ほどの“点検”に加えていただきたく思います。
つるぎ町立半田病院のインシデントが起きてから、幾つかのセキュリティインシデントが他の病院でも発生しています。幸いにして、つるぎ町立半田病院のように医療サービスへの長期間の影響が発生しているわけではなく、もしかしたらこのインシデントが「ウチは大丈夫なのか?」という波紋を呼び、興味関心を引き、事前の準備につながったのかもしれません。インシデントの対応に追われていたにもかかわらず、他の組織が参考にできる情報量を、メディアなどを通じて積極的に公開を進めたつるぎ町立半田病院の取り組みは素晴らしかったと思います。
――ソフトウェアとハードウェアで、対応や心構えに違いがありますか?
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か?
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。
第212回 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか?
IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。