 |
【特集】 不正侵入対策最前線 (前編)
〜不正侵入の現状とトータルセキュリティのススメ〜
丸山 龍一郎
ストーンソフト・ジャパン
ネットワークセキュリティーマネージャー
2001/8/21
| 敵もさるもの、やはりクラッカーの方が賢いのか |
現在、ネットワークに対する攻撃には、ポートスキャンのように既知の手法として検知可能な攻撃と、DDoS Attack(分散型使用不能攻撃)のように存在は認識されているが、検出・対処が非常に困難な攻撃がある。2000年2月に、この攻撃によりYahoo!、e-Bay、Amazon.comなどの業界を代表するサイトが長時間アクセス不能の事態に陥ったのは記憶に新しい。
|
この手の攻撃は今後増加してくると思われる。その理由は、一般家庭のPCがADSLやCATVネットワークを経由してインターネットに常時接続される環境が充実してきているからである。ユーザーのPCからインターネット上のリソースが参照できるということは、反対にインターネットから個人が所有するPCも参照できるということである。当然、一般ユーザーは企業ユーザーに比べてセキュリティに対する意識も低いため、クラッカーがゾンビ・プログラムを埋め込むには格好の標的になってしまう。
常時接続に対応するソリューションとして、各セキュリティ・ベンダがパーソナル・ファイアウォールといった製品を販売している。しかし、その機能を効果的に利用するには、少なからずIPネットワークに関する知識を必要とするのだ。まだまだ、一般のユーザーには敷居が高い製品である。従って、ユーザーサイドに多くを求めるのではなく、ユーザーが加入しているISPがセキュリティを維持するような仕組みを検討していく必要がある。
また、最近ではクラッカーがStickと呼ばれるツールを使用し、ネットワーク管理者が攻撃を検出するのを困難にするような手法も報告されている。Stickは、もともとネットワーク型IDS(Intrusion Detection System)の処理性能を評価するために開発されたツールで、侵入検知システムが検出する攻撃パターンのパケットを擬似的に多数作成する。
Stickを悪用すると、その組織に導入されている侵入検知システムを攻撃(IDSに対するDoS攻撃)あるいは管理者のログ分析能力を超越した大量のログを作成することで事象に対する対応を不可能とするような攻撃となる。あるネットワーク型IDSは、Stickによってわずか2分で停止させられたというようなことも報告されている。不正アクセスの傾向としては、テクノロジを悪用した攻撃だけでなく、システムを管理する人間の処理能力に対する攻撃も出現してきたということである。
| 管理者苦難の時代 |
このように、企業のネットワーク管理者にとってはまさしく苦難の時代である。しかし、ネットワークセキュリティは、管理者だけが考えるべき問題ではない。企業の経営者レベルがセキュリティ侵害とそれが企業に与える影響を正しく理解する必要があるし、不正アクセスに対応していくために必要な人的リソースやコストに関しても理解する必要がある。また、セキュリティ侵害は攻撃された企業だけの問題でもない。侵入されたシステムを踏み台に、次々と関連会社のシステムに侵入されてしまうケースもある。「自分のサイトには有益な情報はないからセキュリティはそれほど考えなくてもいい」といったような考えは改めなければいけないのだ。
それでは、企業の顔でもあるWebページが改ざんされた場合、どのようなインパクトがあるのだろうか?
- 企業のイメージダウン
最近では、改ざんされたWebページの一覧を参照できるサイトも存在している。一度改ざんされたサイトは、恐らくサイトが存在する限りデータとして残り、企業としては永久的にその事実を背負っていかなければならないのである。セキュリティに関するセミナーのたびに例として挙げられたり、特にセキュリティ製品やサービスを扱っている企業のWebページが改ざんされたりすると、その企業のビジネス活動にも直接影響を与えてしまう。
- 売上損失
オンラインショップのように、Webサービス自体がビジネスの基盤となっているようなサイトでは、Webページの改ざんや顧客情報の流出は顧客の信用と顧客自体を失う結果となる。最終的には、サイトの閉鎖にまで追い込まれてしまう場合もある。
どの世界でも、一度失った信用を回復するのには非常に時間がかかり、かつ相当な努力を要する。このような事態に陥らぬように、あらかじめセキュリティ対策を施しておくことが重要である。
以降では、なぜ不正アクセスを許してしまうのか、その原因について考えていきたいと思う。
| キーワードは「トータル」 |
ファイアウォールや侵入検知システムなどのセキュリティソリューションを導入しているにもかかわらず、なぜ攻撃されてしまうか。その原因としては、
- ソフトウェアの問題
- 設定上の問題
- 設計・構築上の問題
が考えられる。
■ソフトウェアの問題
ソフトウェアの問題に関しては、人間が作成したものである以上100%の品質を求めることはできないが、問題が発見された場合に的確に対応(パッチの適用)すれば回避は可能である。
■設定上の問題
設定上の問題、いわゆる設定ミスであるが、これに関しても運用開始前にアクセス経路をすべて網羅したテスト計画書を作成し、確実な試験を実施することで回避は可能である。
■設計・構築上の問題
最も注意が必要なのは、設計・構築上の問題である。企業のネットワーク環境を構築する場合、顧客の要件項目を満足させるために複数ベンダのソリューションを組み合わせるケースが多い。さらに、システムの構築を手がけるSIベンダがその企業のネットワーク環境すべての設計、構築をカバーできれば問題ないのであるが、実際は技術面、費用面、あるいは政治的背景もあり、ネットワークの設計、構築もマルチベンダで行われている。そのような場合、ネットワーク全体をカバーしなければならないセキュリティシステムを構築するベンダ間のコミュニケーションのすき間で漏れてしまう項目が生じる。当然、SIベンダ間には作業範囲(責任範囲)というビジネス上の境界が存在するため、致し方ないことであるが。
ここで、実際に筆者が経験したプロジェクトを例にして説明する。そのプロジェクトでは、A社がファイアウォール、DNSサーバ、メールサーバの環境構築を担当し(筆者はA社)、DMZ上のWebシステムは別のB社が担当することになっていた。このプロジェクトにおいては、一応全体をとりまとめるSIベンダがいたが、設計、構築の中でA社とB社間の打ち合わせのコーディネートはまったくなかったのである。実際、リリース後にDMZ上のWebシステムが数度改ざんされた。原因は、コンテンツ更新用に用意したFTPのアカウント情報を取得され、それが利用されたようである。しかし、この問題はFTPを利用するユーザーの認証とアクセスコントロールを行っていれば解決できたはずである。
このように、ネットワークの中に1つでもセキュリティの弱い点があれば、そこを利用されてネットワーク全体が侵害されてしまうのである。分かりやすくいえば、セキュリティはそのネットワークに存在するすべてのコンポーネントに対して同一レベルを維持することが重要である。セキュリティシステム構築時の理想は、セキュリティ専門のコンサルタントを採用して、企業のネットワーク全体をカバーしたコンサルティングを依頼する方法である。
「セキュリティソリューションの錯覚」へ |
|
||||||||||
|
||||||||||
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
