緊急のブログ掲載となりますが、表題のとおり経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンター(以下、各省庁およびNISC)からサイバーセキュリティ対策についての注意喚起が連名で発表されました。この内容について、資料の記載だけではわかりづらいかと思い、内容を掘り下げてご紹介致します。
重要なことなので説明が多くなりますがご一読頂き、サイバーセキュリティ対策の参考にして頂ければ幸いです。
目次
- 1 サイバー攻撃が急激に増加しやすい情勢に
- 2 「リスク低減のための措置」とは?
- 3 「インシデントの早期検知」とは?
- 4 「インシデント発生時の適切な対処・回復」とは?
- 5 最後に
サイバー攻撃が急激に増加しやすい情勢に
2月23日(水)に経済産業省から「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」というニュースリリースが発表されました。
参考URL:昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
そして、3月1日(火)には、各省庁およびNISCが連名で国内企業から被害にあった旨の発表がなされたことを受け、同様の注意喚起を発表しています。
参考URL:各省庁およびNISCからの注意喚起(一部抜粋:金融庁、NISC)
https://www.fsa.go.jp/news/r3/cyber/0301notice.pdf
昨今の海外情勢により、真偽のほどは不明ですがロシアに対してハッカー集団によるサイバー攻撃が予告されています。また、ロシア以外の国や地域、企業に対してもサイバー攻撃が始まっています。大々的にニュースになったのでこのブログを読んでいる皆様もご存知かと思いますが、直近ではトヨタ自動車様や日野自動車様、ダイハツ工業様が工場一斉停止などを含めた対応が必要なケースが出てきています(工場は復旧したそうで安心しました)。
参考URL:トヨタ、国内全工場を停止へ 部品会社にサイバー攻撃
https://www.nikkei.com/article/DGXZQOFD289MK0Y2A220C2000000/
参考URL:トヨタ あす国内全工場の稼働停止へ 取引先へのサイバー攻撃で
https://www3.nhk.or.jp/news/html/20220228/k10013505951000.html
この状況下で各省庁およびNISCから注意喚起として「政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。
また、中小企業、取引先等、サプライチェーン全体を俯瞰し、発生するリスクを自身でコントロールできるよう、適切なセキュリティ対策を実施するようお願いいたします。
さらに、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。
実際に情報流出等の被害が発生していなかったとしても、不審な動きを検知した場合は、早期対処のために速やかに所管省庁、セキュリティ関係機関に対して連絡していただくとともに、警察にもご相談ください。」という文章が発表資料に記載されています。
この非常事態だからこそサイバー攻撃のリスクが高まり、攻撃者による不審な振る舞いや実際に攻撃を実行することが顕著になる状態です。運用現場による日々の対応はもちろんのことですが、会社が一丸となって現状の対策や課題を把握し、その上で必要なサイバーセキュリティ対策や強化を行わなければ、今の危機的な状況を乗り切れないと感じています。
では、各省庁およびNISCから発表された資料に記載している内容について、私たちはどういった対策を行えばよいのでしょうか。本来セキュリティ対策とは、広い視野で全体像をつかみ、本質を捉えた対策が必要ですが、今回は資料に記載された3つの対策「リスク低減のための措置」「インシデントの早期検知」「インシデント発生時の適切な対処・回復」について、気を付けるポイントや対応できる製品等を併せて紐解いていきたいと思います。
※説明の関係上、ID=アカウントと記載することがありますのでご了承ください。
「リスク低減のための措置」とは?
リスク低減のための措置として3つの施策が記載されています。
資料には伝えやすいように要点が記載されているので、それぞれをさらに分解してどういった対策が必要かをご説明致します。
パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。
全部まとめると「ID管理がしっかりできているか」という内容ですが、そのままでは状況把握も課題もわかりにくいので、さらにこれを分解すると以下のような分類わけとなります。これで現状の把握と対策がわかりやすくなるかと思います。
多要素認証:MFA(多要素認証の利用)
◆確認事項
IDとパスワードだけでOSやシステム、クラウドサービスなどにログインできる状態になっているものを確認する必要があります。
◆対策の方針など
多要素認証はパスワード漏洩やブルートフォース攻撃や辞書攻撃、リスト攻撃などが行った際の対策として大切な要素です。
そのため、IDとパスワードのみでアクセスできるOSやシステム、クラウドサービスなどがある場合は、まずはログインに多要素認証を利用できるのか確認が必要です。
多要素認証の利用ができる仕組みだった場合、次にポイントになるのは、対応するものの優先順位付けを行うことです。多要素認証を導入することは重要ですが、いきなりすべて多要素認証にすることは現実的ではないですし、現場の混乱を招く可能性もありますので、優先順位をつけて対応することが必要となります。
優先順位の付け方ですが、例えば、顧客情報や機密情報など、機微な情報を扱う業務に対してまず最初に多要素認証を導入する方法があります。もしくは、エンドポイント対策にもなるので大規模な対応になりますが、本人確認(業務に利用しているPCにログインするため)にADやAzureADを利用されていると思いますので、業務PCのOSへのログインに多要素認証を導入する方法もあります。
すでに多要素認証を取り入れている企業様であれば、重要なシステムなどは守られていると考えますので、その次にどこを守るか、について検討頂くといいかと考えています。
※多要素認証ができない仕組みだった場合は、あとに記載します[2.1.3. ID管理(パスワードが単純でないかの確認)]に詳細を記載致しますので併せてご確認ください。
◆多要素認証ができる製品例
Cisco DUO、Google Authenticator、RSA SecurID Access、静脈認証装置、FeliCa認証など
特権ID管理(アクセス権限の確認、不要なアカウントの削除)
◆確認事項
「誰がどのシステムにどんな権限でアクセスしてもいいのか」(設計内容)を把握し、実態(機器やシステムの設定)がそれに沿った状態になっているか確認が必要です。
よりわかりやすく書くと、OSやシステム、クラウドサービスなどにアクセスできる部署や人、アクセス経路はそれぞれの役職や業務に合った内容で実際に設定されているかどうかということです。
また、その確認に合わせて、ID棚卸の一環として、部署移動や業務変更による権限変更やID削除、休職者のID停止(無効化)、退職者のID削除はどういったスケジュールで実施されるのかを把握する必要があります。
◆対策の方針など
例えば、一般ユーザの権限しか持っていないはずの人やグループに、特権(Administratorやrootのようななんでもできる強力な権限)が付与されているのであれば、その理由と本来の権限に戻しても問題がないかを確認する必要があります。
この場合によく行われる対策としては、現在業務で利用しているIDではなく、本来のアクセス権限に則って新しく作成したIDを利用して業務を行ってもらう方法です。この対策を行うことで、本来のアクセス権限での業務遂行と、現在業務で利用しているIDによる「管理者が認識していなかったアクセスをログから洗い出す」ことが可能です。
この対策のポイントは、現在利用しているIDをすぐに削除しないことです。なぜなら、ID棚卸を正確にすべて行うには長い時間が必要となり、棚卸が不十分なままでIDを削除するとシステム障害などが起こるからです。昨今の流行りであるRPAやbat、既存システムに知らない間にID/PWが直接組み込まれて動いている場合も考慮すると、この方法をとることで「管理者が認識していなかったアクセス」についてログを活用することで見える化できます。
ID棚卸による権限変更やID削除等についても、もしスケジュールが明確化されていないのであれば、まずはそのルールを作ります。そうすることで、資料にもあった「不要なアカウントの削除」が定期的に行える運用を作ることが可能です。よくあるのは、月末にID棚卸を行い、月初にID整理(権限変更、無効化や削除)を行うというルールです。
また、ID棚卸を行う際のポイントとしては、今回資料にあった不要なアカウントの削除だけではなく「アカウントが増えていないか」を確認するのも重要です。不正アクセスでは、既存のアカウントを利用する場合もあれば、攻撃者が利用するためにアカウントを新しく作成する場合もあります。
その兆候や痕跡を発見できるようにするためにはID棚卸は重要な運用業務です。
◆特権ID管理ができる製品例
ESS AdminGate、CyberArk、iDoperationなど
ID管理(パスワードが単純でないかの確認)
これについては、そもそもパスワードを人が知っているからこそ、パスワードが特定の作成ルールによって単純化(「西暦+会社の略称+!」など)されたり、従業員や外部委託先による不必要なアクセスやパスワードの漏えいに繋がるのです。
なので、パスワードが単純かどうかよりも、先に記載したMFAの利用やシングルサインオン(略称:SSO)の利用を推奨します。
しかし、MFAやSSOの利用ができないシステムやサービスは存在しますので、そういったものに対してはパスワードポリシーの確認が必要です。
◆対策の方針
MFAやSSOができない場合は、パスワードポリシーを決める必要があります。
パスワードの有効期間、複雑性(大文字小文字を利用し、英数字記号が含まれる)や文字数、パスワードの利用不可回数などが設定できると望ましいです。
参考としては総務省が公開しているサイトがわかりやすいです。
参考URL:ホーム>企業・組織の対策>社員・職員全般の情報セキュリティ対策>安全なパスワード管理
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
参考URL:ホーム>基礎知識>インターネットの安全な歩き方>IDとパスワード>設定と管理のあり方
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
また、作業などで一時的に貸し出すIDのパスワードについては、作業都度パスワードを変更することが一般的ですが、運用負荷が高くなるためシステムを導入して自動化やSSO化する企業も多いです(ここもどちらかというと特権ID管理製品で行える対策の分野になります)。
◆SSOができる製品例
Cisco DUO、okta、特権ID管理製品など
IoT機器を含む情報資産の保有状況を把握する。特にVPN装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。
この施策を分解すると以下のように現状の把握と対策が必要になります。
これは製品で対応というよりも運用による対策が必要な施策になると考えています。
情報資産の一覧化、棚卸(IoT機器を含む情報資産の保有状況を把握)
これはどの企業でも行われているかと思いますが、現在保有している情報資産の管理部門や各資産のバージョン管理の一覧化が必要です。これは、情報資産なのでOSやハードウェアだけではなく、ソフトウェアやミドルウェア、アプリケーションも対象となります。
管理部門が多岐に渡ると思いますので、1つのファイルにまとまっている必要はありませんが、一覧化による現状把握と定期的な更新が必要です。更新は特に重要となり、バージョンやセキュリティパッチなどの状況が把握できないと、対策検討に無駄な時間を割いてしまい対応が遅れることがあります。
例えば、最近ではLog4jの脆弱性が話題となりましたが、Apacheを利用しているシステムの有無や、利用しているApacheのバージョンがわからなければLog4j対応としてなにがどう必要かの判断ができません。他にも、資料の更新ができていないために本来はすでにセキュリティパッチが当たっているため対応不要にも関わらずシステムを緊急停止してしまう・・・など。
そのため、情報資産の一覧化と定期的な更新は必要不可欠です。システム的に対応したい場合は、資産管理システムを利用することで、負荷を軽減することが可能と考えます。
◆資産管理ができる製品例
SKYSEA Client View、LANSCOPE、AssetViewなど
脆弱性対応
資料に記載されているとおり、セキュリティパッチや最新ファームウェア、更新プログラムなどを迅速に適用することは重要です。しかし、重要なシステムが動いている運用現場では脆弱性対応とはいえ慎重に対応する必要があります。なぜなら、脆弱性対応を行ったことによりシステムに変更が生じ、アプリケーションが止まるなどのトラブルが発生するリスクがあるためです。
それを防ぐために多くの企業が実施している対策は、検証環境と本番環境を分けることです。お客様によっては検証環境のことを開発環境やステージング環境とおっしゃることもありますが、要は本番環境にすぐ脆弱性対応を行うのではなく、事前に検証をして問題ないことを確認してから本番環境に適用しましょうということです。検証環境を用意できないお客様は災対環境(DRサイト)を利用しているケースもあります。
現在、そういった検証を行うための環境が用意されているのか、ない場合は脆弱性対応でトラブルが発生した時の対応フローは整備されているかを確認する必要があります。
メールの添付ファイルを不用意に開かない、URLを不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。
この施策はここに記載しているとおりですが、「メールの添付ファイルを不用意に開けない、URLを不用意にクリックしない」「連絡・相談を迅速に行うこと」に分けて紐解く必要があります。
人の意識的な対策が基本となりますが、システム的な対策も行えますのでそれも併せてご紹介します。
メールの添付ファイルを不用意に開けない、URLを不用意にクリックしない
◆対策の方針
最近のフィッシングメールは日本語がとても上手です。併せて、実在している企業からのメールのように偽造する技術も高くなっています。一昔前ならば「怪しい日本語」「怪しい改行」「怪しいアドレス」などで判断することができましたが今は見分けるのが難しいです。
ニュースなどで取引先企業から届いたメールの添付ファイルを実行してしまい、と書いてはいますが実際のメール文章を開示していないので、この変化に気付くことは容易ではありません。
そのため、まずは送信元含めて偽装技術が巧妙になっていることを伝えることは重要です。企業によっては標的型攻撃メール訓練を抜き打ちで実施して危機意識の向上に注力されていますので、そういったサービスを利用することで実態の把握を行うことも大切です。
しかし、不用意に添付ファイルを開けない/URLをクリックしないという人の意識対策ではやはりヒューマンエラーを完璧に防ぐことはできません。では、どうするかというと、ヒューマンエラーが起きる前提でシステムによる対策を行う企業が増えています(ゼロトラストの考え方でもあります)。このアプローチ方法は以下のように2つあります。
1.SASEとしての取り組みを検討する
SASEは安全なアクセスを提供するために様々な機能を備えています。ここでは詳細に記載致しませんが、アンチマルウェア/ウイルス検査やDNSセキュリティ機能もその1つです。こういった機能を利用することで悪意ある添付ファイルや不審なURLへのアクセスによる被害から守ることも可能です。
◆SASE対応製品例
Cisco Umbrella、Cato Cloudなど
※Cisco Umbrellaについては弊社ブログでも機能等について詳しくご紹介しております。
参考URL:【リモートワークセキュリティシリーズ Vol.2】Cisco Umbrella https://nttcdd.jp/blog/2956/
2.EDRとしての取り組みを検討する
昨今のサイバー攻撃に対する考え方として、攻撃を完全に防ぐことはできない、という考え方(ゼロトラスト)があります。そのため、侵入後の不審な動きを如何に早く気づき対策できるかが重要です。EDR対策を行うことで、[3.「インシデントの早期検知」とは?]と内容が重複しますが、万が一なにかあった際に迅速に対することができるようになります。
◆EDR対応製品例
Cybereason、Cisco Secure Endpointなど
連絡・相談を迅速に行うこと
◆確認事項
連絡・相談を行う宛先を明確にしていますでしょうか。
例えば、変な添付ファイルを開いてしまった、URLをクリックしてしまったという時の報告フローは?相談先は?不審なメールが届いた時の報告フローは?PCが勝手に動いた・・・など、その時の連絡・相談はどこに行えばいいのかを明確にして従業員に周知する必要があります。
併せて、連絡・相談に合わせて実施する必要があることなどの情報(無線LANをOFFにする、有線LANを抜く、など)も伝える必要があります。
◆対策の方針
巧みに偽造されたメールの添付ファイルやURLは、そもそも気が付かないことも往々にしてあります。なので、「もしかして?」と感じた時にすぐ連絡・相談できる仕組み作りや周知が重要になってきます。
ではどうすればいいのかということについては、[4.2.インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、 対外応答や社内連絡体制等を準備する。]の内容と重複する部分が多いので、そちらで詳細を記載致します。
「インシデントの早期検知」とは?
インシデントの早期検知として、2つの施策が記載されています。
資料にはそれぞれの要点が記載されているので、それぞれをさらに分解してどういった対策が必要かをご説明致します。
サーバ等における各種ログを確認する。
◆確認事項
サーバやDB、FWなどに対して、アクセスログやコマンド実行のログ、システムログやsyslogなどを確認して、不審なアクセスや設定変更が行われていないかを確認する必要があります。
また、EDRの観点からも端末による不審な振る舞いがないかを確認する必要があります。
◆対策の方針
サイバーセキュリティ対策は早期発見と状況把握による対処が重要となります。
早期発見と状況把握に必要なのがログとなりますが、システムが多様化している中で、人がログを目視で確認するのは現実的ではなくなってきています。そのため、ログ管理製品など(SIEM)を利用して情報を一元化する企業が増えてきました。
一元化されたログの中で特に注意すべきはOSやシステムへの特権IDによるアクセスや、データベースへの特権ID(DBAやSYSなど)によるSELECT文の実行などになります。他にも、NWトラフィックが異常に増えているセグメントや端末がないか、本来許可をしていないFWポリシーが有効になっていないかなども確認するポイントになります。
EDRの観点では、脅威に対する迅速な発見や感染経路の確認が必要となります。脅威の振る舞いを把握することで的確な対処を行うための判断ができるようになります。
◆ログ管理やNWトラフィックの振る舞い検知をする製品
Cisco Secure Network Analytics/Secure Cloud Analytics、ALog、Splunk、Cyberreasonなど(特権IDのアクセスログ確認は特権ID管理と併せて対応も可能)
通信の監視・分析やアクセスコントロールを再点検する。
◆確認事項
こちらも「3.1.サーバ等における各種ログを確認する。」や「2.1.2.特権ID管理(アクセス権限の確認、不要なアカウントの削除)」につながりますが、改めて現状を把握するために点検監査が必要です。
今見ているログで足りているのか、他に確認すべきポイントや新しい確認項目がないのかなどを改めて検討することが必要です。
また、アクセスコントロールとはアクセス権限管理やアクセス制御を指すことが多いので、特権IDを中心とした権限やアクセス経路について、[2.1.2.特権ID管理(アクセス権限の確認、不要なアカウントの削除)]で記載したように、本来のあるべき状態になっているか、想定していない権限付与やアクセス経路がないかを確認する必要があります。その際にインフラ面ではFWポリシーの見直しやFW自体にリスクがないかも確認する必要があります。
◆対策の方針
しかし、再点検をするにも要点を理解していなければ通信の監視や分析はできません。そのため、現状のログ管理製品等で作成しているレポートなどを利用して、セキュリティコンサルなどに分析を依頼することが多いです。
また、アクセスコントロールについては、再点検した情報を基に、アクセス元の一元化やアクセスできるアカウントの整理が必要です。FWポリシーの見直しについては、最近はAIによるリスクアセスメントを行える製品などを利用することも増えてきています。そういった機能を活用し、人が最終的な判断を行うために必要な情報収集を自動化することでインシデントの早期検知や対処が可能となります。
◆通信の監視・分析の再点検
コンサルティングサービスの活用
◆FWリスクアセスメントや自動化の製品例
Tufin Orchestration Suite
「インシデント発生時の適切な対処・回復」とは?
インシデント発生時の適切な対処・回復として、2つの施策が記載されています。
資料にはそれぞれの要点が記載されているので、それぞれをさらに分解してどういった対策が必要かをご説明致します。
データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
◆確認事項
重要なデータやシステムのバックアップは定期的に取得しているか確認が必要です。併せて、取得したバックアップの世代管理はできていますでしょうか。
バックアップを取得している場合、復旧手順はドキュメント化され、問題なく実施できる状態か確認が必要です。
◆対策の方針
[2.2.2.脆弱性対応]にて検証環境について触れましたが、本番環境で手順の確認を行うことはできないので、検証環境でデータバックアップ&復旧手順にそって実際に行ってみてください。OSやソフトウェア、ミドルウェアなどが脆弱性対応などでバージョン変更していることによって手順の変更や、想定どおりに復旧ができないなど想定外のことが起こらないでしょうか。
併せて、復旧手順に記載している動作確認についても、現状とマッチしているか再確認することを推奨します。例えば、導入時は利用していなかった機能をなにかのタイミングで利用するとなった時に復旧手順内の動作確認項目から抜けていた、という話もお客様からうかがったことがあります。
過去に、バックアップが取得できていなかった、バックアップは取得していたがリカバリできなかったという事故が何件も発生してニュースになっていますので、他社の教訓を活かして今一度ご確認ください。
インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、 対外応答や社内連絡体制等を準備する。
簡単にいうとCSIRTを準備しましょうという話です。
[2.3.2.連絡・相談を迅速に行うこと]の内容と重複しますのでこちらで詳細を記載致しますが、サイバーセキュリティの問題発生時に迅速に対応するには、CSIRTの仕組みが必要です。
CSIRTが中心となって、問題発生時の対処手順の確立や、対応方針を決めることが重要です。特に、サイバー攻撃では迅速に対応するために経営判断が必要なことも多いので、経営陣と密に連携できる状態にする必要もあります。
なお、CSIRTってなに?どうやって準備すれば?という内容については、以下に記載します日本シーサート協議会に必要な情報がわかりやすくまとめられていますので、ぜひご一読ください。
参考URL:日本シーサート協議会 https://www.nca.gr.jp/
最後に
今回は各省庁およびNISCの資料を軸にいろいろと記載致しましたが、本来であればサイバーセキュリティ対策とは広い視野で全体像をつかみ、本質を捉えた対策が必要です。つまり、ある程度はどの企業に対しても同じ対策ができるとはいえ、最終的には企業ごとに必要なセキュリティ対策や準備が異なります。会社の経営方針や文化、目指しているあるべき姿、運用している人が違うので当たり前ですが、そういった中で1番その会社にマッチしたセキュリティ対策を探して実際の運用に当てはめていくのが私たちのミッションであります。そのために、お客様とのコミュニケーションを1番重要視しています。
私たちNTT Com DDはお客様とのコミュニケーションを軸にお客様と一緒に最適な課題解決を行いたいと考えています。
P.S
NTTグループは、グローバル脅威インテリジェンスセンター(Global Threat Intelligence Center:略称GTIC)を有しており、脅威者たちからお客様を守るためにサイバー攻撃に対する情報の監視を続けております。
参考URL:Global Threat Intelligence Center
https://services.global.ntt/en-us/insights/global-threat-intelligence-center-reports
海外のセキュリティ対策状況などを弊社ブログ内で翻訳記事として定期的に投稿もしておりますので、ご興味があればぜひご確認ください。
<事例/ビジネスインサイトのホワイトペーパーはこちらから>
https://nttcdd.jp/insight/
