川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。
2020年7月31日(金)に、イエラエセキュリティ主催にて組織におけるセキュリティ対策セミナー「川口洋座談会ウェビナー第1回」を開催しました。本ウェビナーは、CIO、CISOとして活動されている方またはCSIRTに興味がある方を対象に参加者を募集し、当日は約100名の視聴者にご参加頂きました。
顧問、川口洋がモデレーターとなり、スピーカーとして登場したのはイエラエセキュリティより高度解析部 ペネトレーションテスト課 課長のルスラン・サイフィエフ、事業推進部 事業推進課 課長の鈴木 正泰。そしてゲストとしてグローバルセキュリティエキスパート株式会社 CSO兼CSROの萩原 健太様にお集まりいただきました。ペネトレーションテストの実際やCSIRTとの連携、ペネトレーションテスト実施後の社内体制の見直し方など、ウェビナー座談会で語り合った内容を2回に渡ってご紹介していきます。
イエラエセキュリティ顧問/株式会社川口設計 代表取締役
川口 洋(写真右端)
2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。
株式会社イエラエセキュリティ 高度解析部 ペネトレーションテスト課 課長
ルスラン・サイフィエフ(写真左端)
ロシアにてシステム管理者/セキュリティエンジニアとして勤務した後、2013年より日本にてWebアプリケーション、ネットワーク、API、自動車などの脆弱性診断業務に従事。2018年2月にイエラエセキュリティに入社し、高度解析部にてペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証などを担当。Offensive Security Certified Expert (OSCE)、Offensive Security CertifiedProfessional (OSCP)、GIAC Exploit Researcher and Advanced Penetration Tester(GXPN)、Offensive Security Exploitation Expert (OSEE)な ど の 資 格 を 持 ち 、SANS NetWars Tournament 2017、FUKUSHIMAHackathon 2017、Medical × Security Hackathon 2015などのCTFにて受賞多数。
株式会社イエラエセキュリティ 事業推進部 事業推進課 課長
鈴木 正泰(写真左から3番目)
大手システムインテグレータで、主にサイバーセキュリティ関連の業務に従事。
脆弱性診断・ペネトレーションテストなど”攻撃側”だけではなく、セキュリティリスクマネジメント部門にてCSIRT・社内セキュリティ規程整備・セキュリティ事故対応など”防御側”も対応。
イエラエセキュリティでは、経験をもとに、脆弱性診断・ペネトレーションテスト・フォレンジックなどの各種案件の要件定義・PM業務を中心に、サービス立案・アドバイザリ・CSIRT支援関連のサービスなども担当。
グローバルセキュリティエキスパート株式会社 事業戦略室 CSO 兼 CSRO
萩原 健太(写真左から2番目)
CSIRTをはじめとした組織的なセキュリティ対策の助言や講演活動を数多く行い、サイバーセキュリティの普及や業界発展のための活動を行う。日本シーサート協議会副運営委員長、日本ネットワークセキュリティ協会幹事、コンピュータソフトウェア協会セキュリティ委員会副委員長、Software ISACのリーダーなどを務める。
●気になっている事は「ゼロトラスト」「サプライチェーン」「ランサムウェア」
川口 洋(以下、川口):イエラエセキュリティの顧問で、川口設計株式会社代表取締役の川口洋です。今日はモデレーターとして出演者にいろいろ話題を振っていきますので、お楽しみに。出演の皆様、それぞれ自己紹介をお願いします。
サイフィエフ・ルスラン(以下、ルスラン):イエラエセキュリティのルスランと申します。ペネトレーションテスト課の課長で、執行役員でもあります。実務としてはペネトレーションテストやレッドチーム系の案件を担当しています。
鈴木 正泰(以下、鈴木):鈴木正泰と申します。イエラエセキュリティの事業推進部事業推進課の課長をやらせて頂いております。脆弱性診断やフォレンジック等、各種案件の要件定義やPM業務を中心にやっています。イエラエは尖ったエンジニアがかなり多いので、エンジニアを組み合わせたサービスの推進も行っています。最近だとパープルチームやCSIRT支援関連のサービスを担当しています。
萩原 健太(以下、萩原):グローバルセキュリティエキスパート株式会社(以下、GSX)、CSO兼CSROの萩原です。GSXはサイバーセキュリティ教育協力カンパニーとして脆弱性診断や教育を行っています。私自身はGSXと、親会社であるビジネスブレイン太田昭和(BBS)に出向して主に経営戦略を作ることをしています。専門はサイバーセキュリティではなく公共政策でございまして、今日は技術者に囲まれて戦々恐々としています(笑)。
川口さんから「最近気になること」というお題を頂きましたので、自己紹介兼ねて少しお話しさせてください。キーワードの1つ目は「ゼロトラスト」です。セキュリティというと境界防御で安心してしまって、壁の内側では監視がされておらず自由に動けることが多いですが、実は中には悪者がいて、侵入者も自由に動ける環境になっていることが多いです。これからどこでも働ける在宅勤務日常時代になっていき、クラウド利用が進むという観点からは、いろんなところを信用せず監視をしていく必要があります。常に個人のデータや端末を確認することが非常に大事ですね。
2つ目は「ソフトウェアサプライチェーン」(ソフトウェア供給連鎖)のリスクマネジメントについてです。多重下請け構造という根本的な経済構造を理解した上でこういった対策をしていかなければならないなと思っています。プロダクトに脆弱性が見つかったと言われたときに原因究明するのも大変ですし、色んなセキュリティをもっと早いタイミングから考えていかなければならない。日本のソフトウェア産業をどうやって守っていくべきなのかというところですね。
3つ目は「ランサムウェア」。Wannacry、EKANS(Snake)、EMOTET…と最近色々出て来ていますし、減ることなく、話題にもなっていると思います。いちいち一喜一憂しなければならないのかという葛藤があります。
プラスアルファとしましては、CIO、CISOが必要なのかどうか。CIOというと情報システムだけに閉じこもっているのが日本なのですが、むしろデジタルトランスフォーメーションを担うCDO、DXOがISOを考えるということにしていかないとダメなんじゃないのかなと最近思っています。
●マルウェア侵入事例の勉強に最適!「日本年金機構」のレポート
川口:ランサムウェアどうするのかというのはよく相談を受けますね。鈴木さん、イエラエには相談来るんですか?
鈴木:感染してしまったんだけどどうしたら良いでしょう、という相談は結構来ていますね。復旧が結構難しいものなので、いかに被害を最小限に食い止めるかということが主眼になってくると思います。
ルスラン:ランサムウェアも、侵入した後に得る情報は何らかしらお金にするためのものなんですよね。個人情報だけではそこまでお金にはならないと思いますが、ランサムウェアを実行することで全て暗号化してしまうことで、より“高く”売れる可能性が出てくるのかなというところはありますね。
川口:組織の中に何百台、何千台とあるパソコンのたった1台やられても大した話じゃないと思いがちですが、それでも組織全体がやられてしまうということは、ただのウイルス感染の話に留まっている問題ではないですよね。
鈴木:アクセス制御については細分化していない企業さんが多いかもしれないですね。フラットに全部いけます、ということになっていたりして…。
萩原:ユーザー企業さんは分かってないんですよね。SIerさんに依存して導入しているから、設計はしているんだけど思想の部分追えているかというと追えていない部分があったりする。本当は根本的にネットワークやシステム構築を見直さなきゃいけないんですけどね。
川口:そういう話になると必ず「何か勉強するのにいいものないですか」って聞かれるので、僕は必ず「2015年の日本年金機構がやられた時のレポートを読んでください」と言っているんですよ。日本年金機構、厚生労働省、NISCと3つのレポートが出しています。この3本のレポートをちゃんと読んでほしいですね。
ルスラン:セグメンテーションを作ってあると思っている会社さんでも、そうなっていない事例はとても多いパターンですね。設計上はそうなっていても、テストを1回も受けていなければ実際に分離されているかどうかは分かりませんから。
●擬似マルウェアを利用したイエラエの診断サービス
川口:イエラエでは擬似マルウェアを端末に入れて診断するサービスがあるんですよね。(詳細については12回目の座談会「擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!」を是非ご参照ください)
ルスラン:マルウェアが既にデバイスに入っているということを前提に行うサービスで、今までレッドチームであるとかペネトレーションテストをやったことがないタイプの会社にはオススメの方法になります。
川口:ルスランさんから渡されたウィルスを開いた時に、本来なら、アンチウィルスソフトや監視でパシッと止めて欲しいわけですよね。それが通ってしまって、デバイスがルスランさんのコントロール下に置かれてしまう。これだけで普通の組織からしたら大変な騒ぎだと思います。
ルスラン:攻撃者のイニシャルアクセスから、外部に通信が流れてしまっていることを会社側がEDRなど使っていかに早く見つけられるかどうかというのが重要ですね。
川口:やり口としては年金機構の時と同じなんですが、防ぎ切ろうと思うと難しいですね。擬似ウィルスを送ったあと、CSIRTやSOCと連携しないといけないと思うんですが…それはどうされてるんですか。
ルスラン:会社によりますが、CSIRTやSOC等どこにも言わない状態で始めてみて、誰かが気付いて大騒ぎになりそうなギリギリのところまでやって、「これはペンテストでした」と教えるということはあります。会社の全員がテストのことを知っていて始める場合もあります。
SOC等に知らせずに始める場合は、より静かに、検知されずにどこまで何ができるのかということを探るのがポイントになっています。SOC等がどのくらいの時間で対応できるのかということを測る意味合いも出て来ますね。マルウェア型ではなくフィッシング型のテストの場合は、この意味合いがより強くなります。
会社によっては、アンチウィルスソフトが検知してログをあげたのに、そのログを誰も見ていないということがあったりするんです。ツールは入れたのにそれをうまく動かせていないということはありますね。
●コスト優先のセキュリティ運用で、大事なものを明け渡さない為に
川口:僕が見た外部委託事例で「これはまずいな」と思ったもののひとつは、アンチウィルスソフトを導入して、アップデートもするけど、アラート内容を報告するという契約内容になっていなかったんですね(笑)。ですから皆さん、契約書を今一度見直して頂いて。「運用する」って書いてあっても「報告する」とは書いてない場合がありますから。
「こんなのおかしいでしょ、アラートに上がっているなら報告するべきでしょ」と思いますけど、お支払いしているお金を拝見すると、あまりに渋くて、契約書に書いてある以上のことを要求できないな・・・という金額だったんです。これは依頼側の「運用費用を値下げしたい」という安易な希望から、年々要件を削っていったらこうなった、という経緯だったんですね。
要件を削ってもいいとは思うんですが、削ってはいけないものが何なのか分からないと事故が起きてしまうと思うんですね。
萩原:コスト優先でセキュリティをやっているところは、そういった契約は多いと思いますね。「運用事業者に投げとけばいい」と思っている。
ルスラン:外部の運用会社が会社のシステムを全部把握していないということもありますね。業務範囲ではチェックしてくれていても、隣にあるシステムを知らなかったり、変わったシステムが中にあることに気づかなかったり。中の運用者しか知らないシステム、使っていないシステムがあったりもしますよね。
川口:端末を管理している事業者とネットワークを管理している事業者が別、ということはよくありますよね。その連携がされていないということはあるでしょうし、ましてSOCがアウトソーシングされていたら中の業務なんてわからないですよね。
萩原:本来CSIRTというのはアウトソーシング先まで含めて全体を考えないといけないんですが、結局自社の中の情報システムで収まってしまっていることが多いですね。そうすると結果的に後手後手の対応になってしまいます。
ルスラン:CSIRTなどは上のレイヤでものを見ていることが多くて、具体的なレベルでは分かっていないことが多いですよね。「私たちにはこういう守らなければならない資産があります」となった時に、そこの部分、そこのネットワークしか知らない。そこだけを守ればいいと思ってしまっている。
実は深く掘っていくとそのネットワークにいろいろセグメントがあって、いろいろサーバがある。それらがどう繋がってどう走っているかは運用しているエンジニアしか知らないということがありますよね。そうなると「自分たちはここを守っている」と思っていても、管理者が自分たちの為のルートを残してしまったとか、正規ルート以外のルートが守られていなかった、ということはありますね。
●セグメントを分離し、アラートのレベルを分けることから始めよう
鈴木:監視する時に、事業セグメントと汎用セグメントというのはアラートのレベルを変えてもいいと思うんですよ。「ここが最重要セグメント」とレベルを変える。
ルスラン:それはユーザーという視点でも同じですね。結局「攻撃が入る」というのは実行ファイルが実行されてしまうか、Officeのマクロじゃないですか。
萩原:確かにその通りです…。
ルスラン:例えば新入社員やアルバイトさん達など、もしOfficeのマクロをあまり使わない人たちがいるんであれば、その端末を別グループにしてマクロ使うのを禁止するということをしていかないと難しいですね。
川口:厄介なテーマが出てきましたね、Officeのマクロは本当に色々なセキュリティ製品を抜けてくるから面倒臭いですよね。業務上便利ではあるんですが、全社員が一律に実行できるべきかは考える必要がありますよね。
萩原:情報に優先度を付けて守った方がいいという話がありましたが、まず重要度を付けられていないことが多いですよね。「重要度1」「重要度2」「重要度3」てなんとなく付けていても、蓋を開けてみたら「いや、全部重要です」となることはありますよね。そうなると、どこを守るべきなのかという定義がちゃんとされていないということになります。これが根本的な問題です。データも整理されていないのに「ゼロトラストやろう」というわけのわからない状態になっているんですよね。
ルスラン:「どれが1番守りたい情報資産ですか?」と質問すると、わからない企業さんもたまにありますね。分かっているところは、そこは分離して監視して、例えオフィスネットワークに入られたとしても、その分離したところに行こうとしたらすぐバレる、見つかる、というところまで持っていければいいと思いますけどね。
萩原:よく中小の経営者と話すと「うちに“情報”なんて無いから大丈夫だよ!」と仰るんですね。ただ情報の価値というのは本人ではなくて、外からの攻撃者が見つけるもの、判断するものなんです。そこを理解した上で対策して欲しいですね。そういう意味でも外部からの侵入テストというのは大事だと思います。入られちゃっても、そこで気付けてよかったじゃないですか。
●侵入者の行動をトレース出来ていない現状、多数
ルスラン:テストを行った後には報告会をするんですが、そこでやったテストや侵入について報告して、SOCが未検知であるかどうかを確認して、ではどう対策したらいいかということを話し合い、会社としては新しい監視を入れられるようにしていく。分離が悪かったとか共通パスワード等の問題もあれば、それも報告書に入れて「直していきましょう」と提案します。
鈴木:最近始めたサービスで好評なのは、ログのトレーサビリティの向上を目的としたものですね。ルスランさんにお客様の環境を攻撃してもらい、目的を達成してもらうんですが、それが終わった後に「ルスランさんがやったことを説明してみてください」とお願いするんです。そうすると入り口のところしか分からなかったり、持ち出されたところしか説明できなかったりして、じゃあ何をやっていったのかという時系列を一旦答え合わせしてみましょう、と。そこで説明能力の向上ができます。
もう1点は、検知ポイントとしてどこが自分たちにとって大事だったのかというのを知ることですよね。「なんでここが守れてないんだろう」というポイントが結構あったりするんですよね。
川口:これはよくある!というポイントを敢えて絞って教えていただけますか。
鈴木:例えば認証ログとかも見ていなかったりするんですね。認証は運用が難しいんだと思います。例えば夜中に認証エラーが来たりしていても「この時間に、なんでこの人ここに入っているんだろう」というようなことまでは見れていないというのが多いですね。
ルスラン:良い例では、ある会社さんが自作ツールを作って、イベントログを取って、変なログがあればアラートを出しているのを見たことがあります。とてもいいと思いましたね。
対策を一度に全部やるというのは無理だと思いますので、少し分離してやるというのが1番大事なことになってきますね。例えば権限を分けるにしても、ドメインコントローラーや重要なサーバー、次がアプリケーションサーバーやファイルサーバー、そしてユーザー系の端末と分ける。重要なサーバーに入るために権限は変える必要がありますし、逆に上位のサーバーに入れる権限でユーザー端末に入れないようにすることも必要です。
●組織内の力関係が、セキュリティ実現にも大きな影響を及ぼす
ルスラン:管理をしている人のほとんどは「動くこと」が最優先事項になってしまっているんですね。セキュリティを上げていくというのは「動きにくくすること」でもあるので、バランスがとても難しいのだと思います。
川口:中小の組織だと、管理者に対して牽制することを求めることそのものが難しいかもしれませんね。ただある程度組織が大きければSOCやCSIRTを持っているわけですから、組織だってやるということになってくるかとは思うんですが。
萩原:その管理者としてやって来た人達が実は元営業で、セキュリティ知識がないままその役職になってしまうというのもよくあることなんですよね…ローテーション人事とかで。大企業になればなるほどありますよね。3年くらいである程度知識を得ていただいて、これからようやく一緒に検討していけるようになる…!というタイミングで移動されてしまったり。
ルスラン:運用、セキュリティ、SOCの間での立場の違いによる争いや、開発者と管理者の力関係でも変わって来ますよね。ですからポリシーをいろいろ考えていかないといけないところですね。
川口:開発者の端末から、ステージングじゃなくて本番用のDBを触れる会社って結構あると思うんですよ。それが開発者にとって効率はいいんでしょうけど、それでいいのかと。いま、ウェビナーのチャットにも「ドキッ」と書かれている視聴者の方がいらっしゃいますね(笑)。
萩原:本来CSIRTは全体を見なくてはいけないんですが、開発環境は見ていなかったりすることがありますね。
川口:なんでCSIRTまで作っておいて「そこは関係ない」ってなっちゃうんですかね?
萩原:「とりあえずCSIRTを作る」ということが先行してしまっているんですよね…ここ数年、いや、ずっとかな…。
川口:まずはCSIRTを作っていないと立場上よろしくない、ということですね。
萩原:はい、それで一時期「日本シーサート協会(NCA)」に沢山の企業さんが一度に入ってこられた時期がありましたね。
●CSIRT、作っただけで安心していませんか?
川口:NCAといえば、そういえばイエラエも最近入ったとか。
鈴木:はい、ようやく。私がPoCやらせて頂いています。ただ、まだちょっと、運用が本格的に始められていないんですけど…社内がアラート源だらけなんで、もう、どうしようかなって…
川口:そうですよね、ルスランさんのネットワーク監視したら攻撃ばっかりしているわけですからね。大丈夫かなっていう通信が沢山出ていく事業特性ですから、難しいですね(笑)。
とはいえ、ようやくですね。萩原さんのご尽力のおかげで。よろしくお願いします。今、NCAは何千社くらい入っているんですか?
萩原:いえいえ、まだそんな…400社くらいです。
川口:萩原さんはNCAで何を担当されてるんですか?
萩原:私は法制度研究WG、工場セキュリティWGというのを持っています。
川口:工場ですか。CSIRTというよりもPSIRTの領域ですね。
萩原:本当は分けなくてもいいと思うんですよ、CとかPとか。でも日本はやはり縦割りなので、担当役員が違うと違う組織になってしまうんですね。CSRITは情報システム、PSIRTは製品の品管、工場は工場長…結局、それぞれに対応して役割が必要になってくるんですね。
川口:本来であればちゃんと経営層がやるべきなんですけど、自分の部門はできるけど他の部門に口出しできない、という社内の体制だったりすると悩ましいですよね。あ、だから萩原さんは経営的な活動を色々と…
萩原:経営者にとってセキュリティっていうのはほんの一部に過ぎないですし、それだけを考えるなんてことは出来ないのはわかっているんです。その中でいかにセキュリティのエッセンスを差し込んでいくか。最近は「危機管理ですよ」「BCPですよ」とか言ってねじ込んでいく感じですね。
(後編に続きます)
(連載「イエラエセキュリティ CSIRT支援室」は、「診断業界の切り込み隊長」として存在感を発揮する株式会社イエラエセキュリティの公式ブログ「SECURITY BLOG」から、創造力あふれるイエラエセキュリティのCSIRT支援の情熱を伝える記事を厳選して掲載しています)
