2022年NIST公開の脆弱性が2万件以上――対策“できない”時代に“できること”をセキュリティリサーチャーズと考える：ITmedia Security Week 2023 春

2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド＆ゼロトラスト」ゾーンにおいて、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「可と不可の間 〜今そこにある契機〜」と題してパネルディスカッションを行った。

[宮田健，＠IT]

「可と不可の間」にあるのは絶望か希望か

　セキュリティリサーチャーとして活動する3人がそれぞれ考える「セキュリティの中で諦めてきたもの」の中から、諦めてはならないもの、そしてまだ見ぬ脅威に立ち向かうための現実解を考えるパネルディスカッションとなった。今回は、3人が提示する課題について、視聴者を含め、皆で“考えてみる”というスタイルが取られ、サイバー脅威に対して何ができるのかを考える契機となった。

今回のテーマは「可と不可の間」

対峙（たいじ）している脅威の変化をキャッチアップせよ

　まず口火を切ったのは辻氏だ。現在気にしているキーワードの一つに「Attack Surface Management」（攻撃対象領域管理、以下ASM）があるという。最近では各種セキュリティベンダーだけでなく、メディアもこの言葉を多用するようになった。辻氏は「こういう言葉で呼ばれるようになった」と、慎重に言葉を選びつつ、自身でその言葉を定義する。

辻氏はASMをこう捉える

　ASMというキーワードは新しく、かつベンダーが多用することもあり、定義があいまいな部分がある。辻氏はこのキーワードから想起するものとして、「外部から影響可能なIT資産とその状態を、検出、評価、選別、修正するプロセスおよびサイクル」と述べる。そして辻氏は、「ASMと脆弱（ぜいじゃく）性診断は似ている部分もあるが、イコールではないと考えている」と付け加える。把握する対象はIT資産、アクセス制御、脆弱性管理などを挙げつつ、「これが自分なりの定義だが、新しい名前が付いただけだ。それぞれのことは、もともとやるべきことだったり、既にやっていたりするはずではないか」と話す。ASMは新しい概念ではなく、これらの管理をまとめたキーワードではないかという指摘だ。

　その上で、辻氏は「ASMができていれば防げたのでは、という事例が国内でも幾つかある」と述べる。その一つは、東海国立大学機構の事案だ。

東海国立大学機構が2022年11月18日に公開した「東海国立大学機構への不正アクセスによる個人情報流出について」の概要

　このレポートでは、機構が管理する機構統合認証システムの一部が不正にアクセスされた理由として「機構外からネットワークアクセス制限が要求される箇所において、設定に不備があった」としている。辻氏はこの「設定に不備」という点に注目する。

　「ネットワークアクセスの制限がどういうものを指しているかはレポートからは明確ではないが、外から見たときにどのような侵入口が開いているのか、もしくはどこからでもアクセスできるようになっているかどうかを自分たちであらかじめ把握していれば、この事件は起きなかったのではないかと思った」（辻氏）

　次に辻氏は、ナッシュにおけるランサムウェア被害の事例を紹介する。

ナッシュにおける、不正アクセスによる情報流出の可能性事案