セキュリティ監査、診断を補完するセキュリティチェック= TraceList | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

セキュリティ監査、診断を補完するセキュリティチェック= TraceList

製品・サービス・業界動向 業界動向

 Scan Security Wire(有料版) では、11月21日号に、TraceList と名づけられた新しいセキュリティチェックの手法についての解説記事を掲載する。ここでは、その要約部分を紹介する。

"TraceList" とは聞きなれない言葉であろう。これは編集部の造語である。

"TraceList" とは、広く浅く定常的に、自分に関係するネットワークサービスの状態をチェックすることをさす。
スタティックな監査、診断でカバーできないネットワーク上の危険性を発見するための方法である。
自分が管理しているネットワークの状態をチェックすることはもちろん、利用しているASPサービス、ポータルサイトの安全性を確認するためにも手軽で有効である。

筆者は、以前から従来型の脆弱性スキャンの限界を感じていた。さらに、脆弱性スキャンをツールに用いるセキュリティ診断、監査も同様な限界を内包していると感じていた。
一定規模以上のサイトでは、稼動しているサービスの数やIPアドレスの数は、軽く数百を超える。大手になれば数千、万の単位になってくる。これらすべてを対象として脆弱性スキャンを行うことはコストと手間の問題で困難である。さらに、これらをスキャンしたとしても自社で管理している部分以外の脆弱性については確認できない。

ネットワーク上のセキュリティは日々変化しているが、脆弱性スキャンはそのコストと手間のために、頻度高く行うことは難しい。例えば、WEB アプリケーションセキュリティという新しい分野がでてきても、本格的なツールを導入し、使いこなすまで待つために対応が遅れてしまう。もちろん、コストもかなり増加する。

安易なアウトソースとツールへの依存がもたらすサイト脆弱性(2002.4.7)
https://www.netsecurity.ne.jp/article/1/4693.html

本格的な脆弱性スキャンは、たまに範囲を限定して実施する本格的なチェックとしては有効であるが、自社および自社に影響を与える可能性のある部分も含めた範囲でのセキュリティ状況を定常的に確認する方法としては十分ではない。定常的な監視としては、IDSあるいは監視サービスが存在するが、それも当然対象範囲が限定される(逆に限定しないとコストと手間が大変である)。

こうした従来型の問題は、WEB改竄、個人情報流出などの問題にも如実にあらわれている。従来型の脆弱性スキャンをベースにしていると、どうしても対象範囲と頻度が限定される。
そのため、大手企業でも、見落としていたサーバがのっとられたり、イントラから侵入されてWEBを改竄されたり、新しい脆弱性への対処遅れでサーバをのっとられるなどの被害を受けることになる。
従来型のセキュリティチェックを補完する方法を考える時期にきていると思う。

・セキュリティチェックの対象範囲と頻度が限定されていたことが原因と思われる最近の事件

国税局サイトで意見や要望を寄せた個人情報が漏洩(2002.11.13)
https://www.netsecurity.ne.jp/article/1/7402.html
東京都の公式ページより個人情報が流出(2002.10.31)
https://www.netsecurity.ne.jp/article/1/7191.html
エヌ・ティ・ティ・ドコモのサイトが改竄(2002.10.24)
https://www.netsecurity.ne.jp/article/1/7119.html
SCAN Security Alert 2K2-005 国内企業co.jpドメイン 8,833件が不正中継(2002.9.19)
https://www.netsecurity.ne.jp/article/1/6734.html
富士写真フィルムの WEB サイトが改竄(2002.9.17)
https://www.netsecurity.ne.jp/article/1/6666.html
三洋電機の音楽ダウンロードサイトが改竄(2002.9.16)
https://www.netsecurity.ne.jp/article/1/6655.html
AllAboutJapan でキャンペーン応募者の個人情報が漏洩の危険(2002.9.10)
https://www.netsecurity.ne.jp/article/1/6595.html

広く浅くコストと手間を抑えて行うことのできるセキュリティチェック方法があれば、従来型の脆弱性スキャンをベースとした方法と組み合わせて、効果をあげることができる。

"TraceList"は、広く浅くコストと手間を抑えて簡単なチェックを行う方法である。当然、脆弱性スキャンもきわめて限定された範囲にとどまる。"TraceList"は脆弱性を見つけることを主眼としているではなく、脆弱なポイント(サービス、IPアドレス)を探し出すことを主眼にしている。それが探し出せれば、その部分のセキュリティを強化すればよいのである。

また、筆者はかねてから「無差別大量攻撃」への対処の必要性を訴えていたが、不幸にして官公庁は、「無差別大量攻撃」にきわめて脆弱なアメリカの真似をしようとしている。
「無差別大量攻撃」への自衛手段を自分でもたねばならないという観点からもTraceList は有効である。

 IT政策大綱の正しい読み方
 〜多様性廃し経済性優先。尊い犠牲者大量募集!〜(2002.10.24)
 https://www.netsecurity.ne.jp/article/1/7116.html
大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3147.html


編集部では、TraceList をいくつかのサイトに対して試行してみた。TraceList は、特定のポートに絞るなど、調査対象サイトから見た場合、通常のアクセスの範囲を超えない方法で実施された。
その結果、複数の致命的な脆弱性がきわめて簡単に発見された。本来は、脆弱そうな個所を探すまでが役割なのであるが、あまりに露骨な脆弱性が多数放置されているため、脆弱性そのものの発見までに至ってしまった。TraceList 対象となったサイトはいずれも大手企業、著名サイトであり、個人情報の取り扱いもある。セキュリティ監査、診断を実施している企業もあった。いかに、従来型の手法が限定的であり、そこから漏れるものが多いかを目の当たりに見た気がした。
ここで発見された問題のいくつかは致命的なものであり、個人情報の流出はもちろん、当該組織のネットワークそのものに壊滅的な打撃を複数の方法で与えられるものもあった。

Scan Security Wire では、発見された事例の解説も含めた TraceList の紹介記事の掲載を予定している。

[ Prisoner Langley ]


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×