ランサムウェアに代表されるサイバー攻撃が猛威を振るい続けている。ただ、その原因を見ると、高度な技術を駆使した新たな攻撃というわけではなく、すでにパッチが存在している既知の脆弱性が突かれたり、アクセス制御や認証の設定ミスなどがつけ込まれるといった、いわば「手垢の付いた手法」が多い。逆に言えば、基本的な対策を徹底し、システムの「健全性」を維持していれば防げたはずの攻撃が多いということだ。
こうした状況を踏まえ、注目を集めているキーワードが、「ASM (Attack Surface Management)」や「セキュリティスコア」だ。攻撃者の視点で自社システムをチェックし、把握できていない IT資産がないか、また攻撃を許すような弱点がないかを洗い出して現状を可視化することで、予防や継続的な改善につなげていく取り組みだ。
メッセージングセキュリティ、特に送信ドメイン認証や DMARC の分野で多くの実績を積んできた TwoFive でも、IT資産全体の脆弱性を可視化するサービスと、メールシステムに特化しさらに深掘りしてチェックするサービスを提供し始めた。その背景を、同社CTO の加瀬 正樹(かせ まさき)氏とエンジニアの Kenny Nguyen(ケニー グエン)氏に尋ねた。
●攻めと守りの非対称性を埋め、サプライチェーンリスクへの対応も支援するASM
サイバーセキュリティがこれほど大きな話題になる前から、IT資産管理や脆弱性対策、適切な設定の実施といった基本的な対策の重要性は繰り返し言われ続け、システム担当者は頑張って取り組んできたはずだ。しかし、なかなか完全を期するのは難しいようだ。
理由としては、まず、攻める側と守る側の非対称性が挙げられる。
「守る側はすべてを守らなければならず、しかし守りに成功しても何も起きません。一方攻める側はどこか一つでも破って攻撃に成功すれば彼ら(攻める側)にはビジネスになります。こうした立ち位置の違いが要因の一つにあると思います」と加瀬氏は説明した。
加えて、クラウドサービスをはじめとする新たな IT環境が普及し、かつてのように、スキルを持ったエンジニアが構築しなくても、様々なシステムをサービスとして手軽に利用できるようになったことで、管理すべき領域は広がる一方だ。にもかかわらず、適切に運用・管理できる専門性を持った人材は不足気味だ。
こうした現状を解決するための取り組みの一つとして注目を集めているのが ASM だ。2023 年 5 月に経済産業省が「ASM導入ガイダンス~外部から把握出来る情報を用いて自組織の IT資産を発見し管理する~」と題したガイドラインを公開したことをきっかけに、国内でも一気に関心が高まっている。
加えて ASM は一企業の問題にとどまらず、サプライチェーンリスクへの対応、ひいては経済安全保障やサイバー防衛といった観点からも重視されつつあるという。
「グループ企業や取引先から侵入されてランサムウェアに感染し、ビジネスが停止するケースも報じられています。そういった観点から経産省も注目しているように思います」と加瀬氏は述べた。
さらに Nguyen氏は、「これまでユーティリティ(重要インフラ)と言えば、電気やガス、水道で、それらを守るためのガイドラインが定められてきました。今やインターネットはこれらと並んで社会や生活になくてはならないユーティリティになっており、それらを守るために ASM が求められているように思います」とコメントした。
ただ、最近では ASM は若干バズワード気味で、「あれもこれもASM」という雰囲気も生まれつつある。そんな中、加瀬氏は ASM の本質は「IT資産を、外部、特に攻撃者からどのように見られているかを客観的に、網羅的に確認し、適切にマネジメントしていくこと」だと述べた。
より具体的には、ASM には三つの役割があるという。
一つ目は、「何が見えるか」の把握だ。IPアドレスやドメイン名、サーバやそれが動く OS、アプリケーションなど、どのような IT資産が動いているかを把握すること。これが第一歩となる。
二つ目は、そうした IT資産で適切な設定や脆弱性管理を行うことだ。ポートの開閉状況にはじまり、認証、そして意外と見逃されがちな暗号化の設定にも注目すべきだという。もちろん、サーバが動作する OS やアプリケーションの脆弱性を把握し、実際に攻撃に悪用されているものであればパッチ適用や回避策の実施といった対策を取る必要もある。
そして三つ目は、こうした施策を「優先度」を付けて対応していくことだ。IT資産を網羅的に把握し、適切な状態に保つことは重要だが、クラウドも含めて膨大な数に上る資産すべてを一律に対応するのは、工数でもコストの面でも非現実的だ。自社にとって重要なものから優先度を付けて取り組んでいくことがポイントになるという。
●インターネットの「公道」から泥棒と同じ視点で「セキュリティの姿勢」をチェックするBitsight
TwoFive では株式会社パロンゴと協業し、これら三つの領域をカバーする ASMソリューションとして「Bitsight(ビットサイト)」の提供を開始している。IT資産の発見と状態・脆弱性対応の確認を行い、修正を促すクラウドサービス形式の可視化ツールだ。自分たちの組織はもちろん、取引先も含めてリスクを確認でき、新たに取引を行う相手についてもセキュリティ上の問題がないかをチェックする目的にも活用できる。
Bitsight では、確認したいドメイン名など基本的な情報を入力すると、自動的かつ定期的に行っているクローリングで得た IT資産の露出状況や設定などに基づいて、「スコア」という定量的な形で、企業のリスクやセキュリティ水準を示すことができる。スナップショットではなく、時系列でスコアの推移を表示し、状況が改善しているのか、変わらないのか、あるいは突発的に新たなリスクが生じたのかを知ることもできる。
事実、「セキュリティインシデントが発生してしまった企業の状況を Bitsight で見てみると、やはりその前からスコアが下がっていたことがわかる(加瀬氏)」ということもあるという。また TwoFive自身のシステムを Bitsight でチェックしてみたところ、紺屋の白袴ではないが、コーポレートサイトを動かす Webサーバの設定に不備が見つかり改善につなげたそうだ。
「問題点を見つけ、着実に改善していく上でのいい道しるべになると思っています(加瀬氏)」
加瀬氏はこうした Bitsight の役割は、個々の家の敷地に立ち入ることはせずに公道から住宅街を見回り、防犯カメラ付きで戸締まりをしっかりしている家か、それとも庭には草がぼうぼう生えており、郵便受けには郵便物がいっぱいたまっているような家かを見極めるようなものだと説明した。あくまでパブリックなスペースからの見回りだが、「『この家は狙えるかどうか』という泥棒と同じ視点で下見を Bitsight が擬似的に実行することで、自分たちがどのように家を守っているかという『姿勢』を見るものです」(加瀬氏)
Bitsight ではまた、システム全体のスコアだけでなく、ポート開放の有無や Webアプリケーションヘッダー情報の適正性、SPF や DKIM といったメールセキュリティ関連の設定など、十数種類のカテゴリごとに数段階での判定結果も表示される。注意が必要なところ、是正が必要なところがあれば赤色で目立つように表示され、優先順位を高めて速やかに手を打つよう支援する。
「インターネットにつながっているサーバの中には、暗号化はしていても、採用しているアルゴリズムが古くて適切ではないといった状態もあります。これは、鍵が壊れていてすぐに押し入られるという状態ではありませんが、草ぼうぼうの庭と同じで狙われやすい状態と言えます。Bitsight はそうした部分に注意を払い、対策を後押しするものです(加瀬氏)」
特に最近猛威を振っているのがランサムウェア攻撃だ。ユーザーのリテラシー教育も含めた防御・予防策と、バックアップの取得やインシデント対応体制の構築といった事後のビジネス継続性の確保の両面での取り組みが求められているが、「外から見えるその組織のセキュリティに対する姿勢も、狙われやすいかどうかに関わってくるように思います」と加瀬氏は言う。
荒れたまま放置された家よりは、手入れがされ戸締まりをしている家の方が狙われにくいし、さらに鍵が二重になっていて監視カメラも付いている家はもっと狙われにくくなるだろう。そんなふうに、「組織のセキュリティ対応姿勢」を確認し、固めていく取り組みを、システムインテグレーターなどの販売パートナーとともに Bitsight を通して支援していくという。
●知見を生かし、メール到達率やガイドライン遵守状況などを一目で把握できる「MXSCORE/25」
Bitsight は広範にシステムをチェックできる優れたツールだが、メールセキュリティの専門家集団である TwoFive としては、若干物足りない部分もあったという。「我々としてはもう少しメールに関わるセキュリティ設定を深掘りしたいという思いがありました(加瀬氏)」
そこで Nguyen氏が中心となって開発したのがメールに特化したサービス「MXSCORE/25(エムエックススコア トゥーファイブ)」だ。TwoFive のノウハウを生かした視点で、OSINT(Open Source Intelligence)ベースの調査と送信メールの内容に基づいて、外部からどのようなリソースが見え、どのような情報をチェックできれば改善できるかを示すスコアリングサービスとなる。
「Bitsight も含め、ASM はセキュリティ上の課題全般をチェックするツールですが、MXSCORE/25 は、特にメールを送信する立場の人に必要な情報を意識したツールです。なりすまし対策の度合いにはじまり、スパムなど不要なメールを送信していないか、そして Google の送信者ガイドラインに代表される業界ガイドラインにどの程度準拠しているかといった事柄を可視化し、情報提供します(Nguyen氏)」
ASM と同様、業務で日々多くのメールをやりとりするエンタープライズ企業のセキュリティ担当者やインフラ担当者はもちろんだが、B2Cビジネスを展開し、マーケティングで積極的にメールを活用している企業が、メール関連のセキュリティ設定や到達性を確認するといった用途で活用することを想定して開発された。
MXSCORE/25 では「DNS」「MTAサーバ」「メールボックスサーバ」「その他」という 4 つのカテゴリにわけて、メール環境の設定など約 70 項目以上をチェックして五段階で評価する。
●DNSカテゴリの評価項目 ~ DMARC対応状況ほか
一つ目の DNS に関連する項目では、具体的には SPF や DKIM、DMARC といった、DNSレコードに登録される送信ドメイン認証に関する情報を確認する。
「たとえばテスト用のこのドメインでは、DMARC自体には対応しており構文エラーもありませんが、ポリシーがまだ Quarantine で運用されていることを踏まえ、DMARC の対応状況を『B』と評価しています(加瀬氏)」。
評価するだけでなく、設定をどのように変えれば状態が改善でき、結果としてどのような挙動を示すのかといった事柄も含めて、すべての情報を一つの画面上に示すことで、運用と継続的な改善を支援していく。
●MTAサーバカテゴリの評価項目 ~ 踏み台になるリスクなど
二つ目の MTAサーバに関する評価では、文字通り、メールの送信を行うメールの中核機能である MTA の設定を確認する。バウンスメールの他、第三者中継、いわゆるオープンリレーや DKIMリプレイアタックを許す設定になっていないか、またバージョンや暗号強度、鍵長など細かな部分も含め TLS の運用状況はどうなっているかなどをチェックし評価する。
●メールボックスサーバカテゴリの評価項目 ~ 到達率やスパム報告、ガイドライン遵守状況など
三つ目のメールボックスサーバのカテゴリとは、受信側の観点から見たセキュリティの状況だ。インターネット側から見た場合のソフトウェア名やバージョン、そしてメールボックスへのアクセスを許しかねないメールヘッダインジェクションへの対策状況などを確認していく。
さらに、関連する CVE情報(脆弱性情報)なども確認可能だ。
とはいえ最大の特徴は、メール送信側の観点で、到達性やスパム判定率を確認できることだろう。MXSCORE/25 では Google や Yahoo! など複数のサービスに対してメールの到達性を確認できるほか、Google Sender Guideline をはじめとするガイドラインの遵守状況が一目で把握できる。より確実に準拠させるために必要となる追加設定情報なども確認可能だ。
特にメール送信者の立場で気になるのは、ユーザーからスパムとして報告されたメールの割合を示す「スパム判定率」だろう。もし一定の比率を超えてしまえば、Google などの事業者からブロックされ、自社の通知メールが届かなくなる可能性があるからだ。MXSCORE/25 ではその比率を逐次確認できる上に、閾値を超えた場合にアラートを送信する通知機能も備えており、早い時点で対処できるようになっている。
もちろん、これらのチェック項目の中には、Google Postmaster Tools などを使って確認できる項目も含まれている。しかしその場合、Google ならばGoogle、Yahoo! ならば Yahoo! といった具合に、サービスごとに個別にログインして確認する必要がある。「これに対し MXSCORE/25 では、それぞれ別のツールを使わなくても、ワンストップで複数のサービスの準拠状況やスパムとして報告されたメールの割合が確認できるというメリットがあります(Nguyen氏)」。近々、Microsoft のメールサービスにも対応する計画だ。
より長期にわたるヒストリーを確認できることも利点の一つだ。Google Postmaster で確認できる履歴は 6 ヶ月までだが、MXSCORE/25 はそれ以上の長いスパンでスコアの推移を確認できる。また、Bitsight同様に関連会社や取引先の情報もチェックできるため、踏み台となって他社にランサムウェアなどの攻撃を展開されるリスクも未然にチェックできる。
●継続して活用することで、セキュリティ改善の取り組みを習慣付けるきっかけに
Bitsight では、サプライチェーンも含めてセキュリティ上留意すべき点を広く確認でき、「何から着手したらよいかわからない」といった状況での優先順位付けを支援する。一方 MXSCORE/25 はメールという領域に特化し、メールをビジネスで活用する上で最低限必要な「常識」を押さえる手助けとなる。その意味で、用途に応じて使い分けたり、組み合わせて共存することもできるだろう。
将来的には、MXSCORE/25 を TwoFive が提供する他のソリューションと統合したり、API を介して Bitsight と連携させるといった可能性も考えられるという。
いずれにせよ、セキュリティ姿勢の確認作業は、一度実施して終わりではない。
「ASM は一過性のものではなく、継続こそがポイントだと考えています。脆弱性を見つけ、改善していく取り組みを自分たちの業務プロセスに融合し、習慣付けるきっかけとして使っていただけるのではないでしょうか(加瀬氏)」
普段はあまり意識しなくても、9 月 1 日や 3 月 11 日には災害への備えを見直し、意識を再確認するのと同じように、Bitsight や MXSCORE/25 での定期観測を、自分たちを守っていく「習慣付け」のツールとして活用してほしいとした。
ただ、毎日数字だけを追っていては疲れてしまうのではないかという懸念ももっともだ。これに対し加瀬氏は、「最初は定期的にチェックして徐々に全体のレベルを上げていき、一定の水準に達した後は閾値を設定し、それを下回った場合にのみアラートを発報といった形でもいいと思います」とアドバイスする。そして、まずは TwoFive やパロンゴといった外部の専門家のアドバイスを得ながら検査を回し始めて徐々に自力で回していく形が理想的だと述べた。
「『もうアドバイスやコンサルティングはいらないよ』とお客様に言われるのが我々のゴールだと思います。定期的にチェックし、自分たちでツールを使って自走できる状態を目指すのが最善ではないでしょうか(加瀬氏)」
加瀬正樹:
2000 年にインターネットサービスプロバイダーに入社。法人・個人向けのメールシステムの企画・開発・運用・マネジメントを担当。2017 年より TwoFive に入社し、自社製品のプロダクトマネージャーを務める。
Kenny Nguyen:
業務支援サービス会社にてプロジェクトマネージャーおよび技術リーダーとしてソフトウェアアウトソーシングプロジェクト管理に従事。その後、別会社にて英国およびその他の EMEA諸国で電子黒板関連ソリューションのプリセールス/ポストセールス エンジニアを担当。2016 年 TwoFive に入社。MXSCORE/25 開発を担当。
