本当の安全は日々の努力の積み重ねです

DSD75Web.jpg

企業にとっての情報セキュリティ対策は、サイバー犯罪の被害から社員や資産を守るだけではなく、社会的な信用を維持して、取引先や顧客に迷惑をかけないためにも、必ず取り組まなければならない経営的な課題です。しかし、その情報セキュリティ対策には、一般的な経営課題と比べると、成果やゴールが見えにくい、という問題もあります。「どこまでやればいいのか?」というのが、おそらく多くの経営者の素直な気持ちではないでしょうか。そんな疑問に応えてくれる一つの指針が、オーストラリア国防省の配下にあるThe De fence Signals Directorate (DSD:国防信号局)の発信している「Top 35 Mitigation Strategies」というサイバー攻撃対策です。

●Top 35のうち上位の4 つを順守するだけで85%の脅威を低減できる。

2014年2月に公開された最新の「Top 35 Mitigation Strategies」サイトには、35項目すべての優先順位と、Top 4 Strategiesという最優先の4項目が掲載されています。
このサイトの解説によれば、35項目のすべてではなく、Top 4を守るだけでも、85%の脅威を低減できると書かれています。

その4項目とは、

1. application whitelisting・・・アプリケーションのホワイトリスト化
2. patch applications・・・アプリケーションのパッチ適応
3. patch operating systems・・・OSのパッチ適応
4. minimise administrative privileges・・・管理者権限の最小化

となっています。

これだけの項目を見ると、「なんだ、そんなことか」と思われるかもしれません。政府が発行している情報セキュリティの指針なのだから、もっと強固な侵入対策や攻撃予防のテクノロジーや防護体制の強化を推奨するのではないかと、思われる人もいるかもしれません。もちろん、そうした対策を否定しているわけではありません。実際に、最新版で新たに追加された第6位の対策に、Automated dynamic analysis(自動化された動的解析)という項目があります。
しかし、ツールの利用よりも優先されているのが、利用するアプリケーションのホワイトリスト化なのです。そして2位と3位に、アプリケーションやオペレーティングシステムのアップデートが推奨されています。さらに4つめの重要な対策が、システムを利用する管理者権限の最小化という厳密な管理です。
でも、何故これだけの対策で、85%もの脅威を低減できるのでしょうか。

●簡単そうで困難な4つの対策

一見すると簡単そうな4つの対策ですが、もしもあなたが企業の情報システム部門に所属していて、社内のITに関するセキュリティ対策を担う立場にあったとしたら、この4つの対策を完璧に実施できると断言できるでしょうか?

まず、アプリケーションのホワイトリスト化ですが、すでに作成されていますか? そして、それが確実に全社員に順守されていると確信できるでしょうか?
意外と、外敵からの侵入を想定した対策は施していても、社内のPCに不正なアプリケーションが侵入していないかどうかを日々きちんと監査している会社は少ないのです。この問題は、PCだけではなく、スマートフォンやタブレットでは、より深刻なセキュリティ・ホールとなります。実は、米国IBMが行った調査によれば、Fortune 500企業など大企業の40%近くが、顧客向けに開発するモバイル・アプリケーションを保護するために適切な予防措置を講じていないことが判明しています。この事実からも、企業内で稼動している端末のすべてに、最適なアプリケーションのホワイトリスト化は、必須の対策となっているのです。

次に、アプリケーションやオペレーティングシステムへのパッチ対策ですが、社内のすべての端末が常に最新の状態にあると明言できるでしょうか? セキュリティ対策ソフトの中には、端末の脆弱性を検査して最新のパッチを自動的に適応するものもあります。しかし、こうしたアップデートは端末の再起動が必要になったり、更新そのものに時間がかかるため、現場のユーザーが後回しにしている例も多いのです。特に、各自が端末の電源を落として帰ってしまう会社では、リモートブートなどの仕組みを採用していなければ、夜間に自動的にパッチを適応する、といった作業もできません。さらに、2014年の夏に配布されたWindows Updateでシステムがハングアップしてしまうトラブルが発生したように、オペレーティングシステムのアップデートは、事前に検証して慎重に行わなければなりません。このように、アプリケーションやオペレーティングシステムの脆弱性への対策は、単純なようで完璧な実現が難しい作業なのです。

そして4番目が、管理者権限の抑制です。最近のサイバー攻撃は、金銭的な価値につながる情報の盗み出しが増える傾向にあるので、ハッカーはデータに容易にアクセスできる管理者権限を奪い盗ろうとします。ところが、その管理者権限が厳密に管理されていなければ、システムのリソースにアクセスしている管理者が正規のスタッフなのかハッカーなのかを判別できなくなります。それだけではなく、実際に被害にあった後に、管理者権限の使われ方をトレースできなければ、どのような経路で侵入されたのかも解析できません。もしも、社内でFirewall内にあるサーバだからといって、rootユーザーのパスワードをデフォルトのままにしていたりすれば、それはハッカーの格好のターゲットになってしまうのです。また、端末の横にパスワードを書いたポストイットを貼っているような職場では、いつソーシャルハッキング(*1)を受けても不思議はないのです。

たった4つの対策ですが、実はそれを完璧にオペレーションしていくためには、日々の絶え間ない努力の積み重ねが求められているのです。

*1) ソーシャルハッキング:ユーザーIDやパスワードを盗み出すのに、技術的な手段を利用せず、直接本人の口から聞き出す、タイプ内容を盗み見る、書類やメモを入手する、といった手口を悪用すること。

●有効な対策は日々の監視とエンドポイントの管理

かつて、コンピュータウイルスがPCにとっての最大の脅威だった頃は、ワクチンとなるウイルス対策ソフトをインストールしていれば十分でした。しかし、現在のサイバー攻撃は悪意を持った犯罪者が世界的な規模でインターネットを介して攻撃を仕掛けています。その攻撃は一過性なものではなく、システムの防護壁にある小さな穴や脆弱性を狙って、秒単位で襲ってきます。こうした脅威から社内のシステムを守るためには、日々の継続的な監視とPCやスマートフォンやタブレットなどのエンドポイントを的確に管理する取り組みが求められているのです。それは警備会社に警護を依頼するのと同じように、セキュリティ対策のプロフェッショナルによるアドバイスやオペレーションが必要になります。そうしたプロフェッショナルの知見を得た上で、Top 4の対策を日々推進できれば、安全性は85%かそれ以上になるのです。


参考:「Top 35 Mitigation Strategies」サイトのリンク

http://www.asd.gov.au/publications/protect/top_4_mitigations.htm

** コラム執筆 **
ユント株式会社
田中 亘