quality_icon

年金情報流出事件の概要とその手口~どの組織でも起こりうる可能性とその解決策とは~シスコシステムズ

  • このエントリーをはてなブックマークに追加

by [2015年7月01日]

quality_icon IT資産管理やソフトウェアライセンス管理の他、情報漏えいに対するソリューションにも力を入れているクオリティソフトは、125万件の年金情報が流出した大規模事案を受けて「公認情報システム監査人が解説する、個人情報流出事件の手口と対策」と題したセミナーを緊急開催した。
 本稿では、最近は現場でのインシデントレスポンス(セキュリティ事案への対応)に追われているというシスコシステムズ(以下シスコ)の楢原氏による第一部「年金情報流出事件の概要とその手口~どの組織でも起こりうる可能性とその解決策とは~」をお届けする。

quality_0000

シスコシステムズ合同会社 アドバンスドサービス・エンタープライズ・パブリック事業 セキュリティビジネスリード CISSP-JGISP、公認情報システム監査人 楢原盛史氏

 日本年金機構様の事案に関しては、マスメディアの情報をいろいろとご覧になっていると思いますので、本日は各論よりも総論というかたちでお話したいと思います。
 シスコは、ネットワークやサーバーの事業をしていますが、私はグローバルセキュリティのコンサルティングチームに所属しています。我々もグローバルでCSIRT(サート)に加盟しています。CSIRTの1つ上にはFIRSTという団体があります。ネットワークとセキュリティの業態でFIRSTに加盟している会社はおそらくグローバルでも指折りではないでしょうか。
 本日は、コンサルテーション系の話なのですが、セキュリティ脅威動向に関しては、弊社では毎年アニュアルレポート(シスコ セキュリティ レポート)を出しています。無償なのでぜひダウンロードしてご活用ください。

▼関連記事
マイクロソフトのチーフセキュリティアドバイザーが語る「事例を参考に考察する現在の脅威とその対策」
もはやアンチウィルスソフトでは防げない~標的型攻撃の脅威と企業に必要な情報セキュリティ対策

日本のセキュリティ業界の今

 セキュリティ業界にある、インシデントレスポンスのコミュニティでは、最近「とにかく火消しをできる人がいない」という話題になります。IPA(独立行政法人 情報処理推進機構)からも発表されていますが、今の日本に必要なセキュリティの人材は23万人ですが、実際は2.2万人が不足しています。これは大げさな数字ではなく、私の実感としてもそういった人材は完全枯渇に近いです。今もいろいろな対応を検討されている経営者がいらっしゃると思いますが、いざお願いしようとなっても専門的な人は極めて限られているのです。
 それでは、セキュリティ脅威のレベルと対策の実情をお話しましょう。脅威レベルを縦軸に、時間を横軸にして整理しますと、脅威の変化はこのようになっています。

quality_0071

 我々のお客様には、金融業種、重要インフラが多いのですが、彼らとディスカッションをすると、セキュリティ策として「ベンダーからの売り込み等でセキュリティツールは導入しました」となります。これは2005年くらいから進化していません。日本年金機構様のケースもそうですが、各社のアンチウィルス製品では捕捉できない不正プログラムが今の大規模事案に発展しているのです。
 そして、どの企業でも頭を悩ませているのが内部犯行系です。権限のある人が悪さをするものに対しては、ルール、委託先の管理強化等、ひと通り対応を取られているのですが、それをデジタル・エビデンス(証拠)としてトレースして分析できる手法は極めて欠落しています。
 これこそ統合ログ分析システムを入れて対応しましょうとなるのですが、SIEMと呼ばれる統合ログ分析システムをみなさんは魔法の箱のようにおっしゃりますが、非常に高度な機能を有する為に「実際に運用がままならない」という非常に大きな課題も出てきています。

日本年金機構の事案の原因・課題

 日本年金機構の事案のポイントは、年金情報を保有する関連PCまたはサーバーが不正プログラムに感染して、犯罪者がそれを乗っ取り、その端末を踏み台にして、認証権限を取りながら、主要サーバーにアクセスし、その情報をプロキシ経由、ファイアウォール経由で特定のサーバーに送信したことです。C&C(コマンド&コントロールサーバー)ももちろん成立しますし、こういうかたちで情報が搾取されているのだろうと想定しています。流出した個人情報は125万件ですが、長期に渡って攻撃されていたとも言われており、その件数ではとどまっていないと思われます。
 今回の事案を技術論、組織論として簡単に整理してみましょう。
 技術論では、本来ならパッチを当てて、ウィルス対策製品を稼働していれば、かなりのリスクヘッジはできます。しかし一部報道では、ウィルスパターンファイルのアップデート、ツールの基本的な運用、各種脆弱性対策が適切ではなかったのではないか、とされてます。(年金情報を扱うネットワークは)高可用性なので、我々が対応したケースでもクローズド系ネットワークに近くなればパッチを適用する事は事実上困難なケースもあります。そのため、可能性として一部のシステムが脆弱性対策が困難であったのでは、と考えられます。さらに、定量的かつ網羅的に未知の不正プログラムの実態や、セキュリティ事案が特定できていなかったのではないか……これはツールで捕捉できる脅威でなくて、ツールを全部スルーして不正プログラムに感染して暗号化パッキングされたものに関しては、検知できないということです。我々の専任のアナリストがGW型のセキュリティツール群をフルチューニングをかけても、60%くらいまではレベルアップできますが、あとの攻撃は補足困難なケースがあります。そのため実際に脅威がどれくらいあるかを把握する事は極めて困難なのです。
 組織論においては、組織形成というかたちでSOC/CSIRT(ソックサート=企業内セキュリティー部隊)が流行っていますが、運用がまわっていないというケースが多々あります。これは多種多様なお客様がいらっしゃって、それぞれの会社で文化や経営層の考え方、戦略……これらが異なることが理由です。
 セキュリティ製品はアラートを出します。アラート発報というのは、あくまで分析のトリガーにしか過ぎません。統合ログ分析システムを入れれば、それがアラートを発報しますので、センサーを入れるほど、アラートの数は膨大になります。そしてそのアラートが誤警告なのかとか、ネガティブはスルーしていないかの判別はお客様のシーサートに委ねられます。しかし、犯罪者側は国や組織であり、ネクタイを締めてスーツを着て、9~17時の間ハッキングを正式な使命としてやっているわけです。そういう人たちを相手に、片手間でインシデントレスポンスをしても守れるはずがありません。我々のお客様もセキュリティに億単位の投資をしているのですが、それでも事故が起きるのです。
 何かの事案が起きると、企業の経営層のアテンションが高くなって様々な指令が出ると思います。しかし、報道が鎮静化するとともにアテンションが下がる兆候がある場合、その企業のセキュリティリスクは高いと思います。BCP(事業継続計画)の観点から、地震、水害、火災に対しては、どの企業もしっかり体制を整えています。しかし、サイバーインシデントに関するBCPはまだまだ欠けていると言わざるを得ません。

わたしたちが目指すべきセキュリティへのアプローチ

 それでは、セキュリティに対して私たちはどのようなアプローチをとればよいのでしょうか? 
 具体的に言えばセキュリティ事案の事実、原因を特定することです。すなわちセンサー、アラートという次元ではなく、お客様の中に累積しているあらゆるログの中から、未知のセキュリティ脅威がないかを特定することです。これは我々の生活に例えれば、定期検診であり、危険な兆候があれば精密検査をしますが、これがサイバーセキュリティでは欠落しているのです。
 つまり、事実と原因が特定されて初めてセキュリティの対処ができるということです。対処策では適切なツールと運用が重要です。それで守れないものが残存リスクとして定義されます。その残存リスクを運用でどうまわしていくかを考えない限り、対処できないのです。これが、医者による手術、処方です。
 公開サイトに関しては脆弱性検査をやると思いますが、多くのPCや、サーバーの中からセキュリティ事案の有無を特定することは極めて大変な作業です。でもこれをやらないと、未来永劫モグラたたきは終わりません。
 そうした体制を組むことによって、アラートが激減していき、どんどん精度の高いアラートに持ってくることができる……つまり運用がまわっていくのです。
quality_0083

 日本年金機構様が受けた攻撃は5年前から変わらない手法です。ウィルスリンク付きの標的型メールがドメインを詐称して経営者の名前で会社に届く、するとリテラシーがある人でも開いてしまいます。
 exeに改造されたPDFなどをそうと気づかずにクリックすると、不正なサイトにリダイレクトされ、そこからコンポーネントを落としてきます。このウィルスコンポーネントは、10年前は1~5種類、昨今は20~100種類が出てきてウィルス対策ソフトでは検知できません。マルウェアが発見されればOKですが、このプロセスはコマンドライン系ツールの情報であったり、ウィルスとして定義されるものではないからです。
 ここでもしシステムに脆弱性があって感染すると、初めて犯罪者側とのC&Cが成立します。すると、犯罪者が社員と同じ権限を持ち、つまりイントラネットを使い放題となり、主要サーバーから簡単に情報を取得することができるようになります。
 一般の会社にもある、インターネットゲートウェイ、次世代ファイアウォール、Eメール、URLフィルタリング、これらが適切に運用されていることは非常に重要です。しかし、それらをスルーする攻撃が、脅威に発展しますので、それらをCSIRTの運用や我々セキュリティの専門家と連携しながら対応していくのが重要です。
quality_0090

 次にマチュリティモデルと呼ばれるセキュリティの成熟モデルについてご紹介します。

  • レベル1 ひと通りツールを導入した状態で、ツールで補足出来ない脅威への対処方法が課題。
  • レベル2 SOC/CSIRTという組織形成をする。マニュアルや組織を作るだけで終わってしまうことが課題。
  • レベル3 レベル2と連動。いわゆる統合ログ分析で生ログをセンターに集約して分析して事例を特定するが多くのケースはしきい値(スレッショルド)だけで行なうため特定しきれないことが課題。
  • レベル4 専門家によるSIEMの内部ログ解析。リアルタイムでは必ず見逃しがあるので累積ログを見る、あるいはNISC等のセキュリティ機関が危険としたURLを累積ログでサーチをかける。課題は専門家を選定する方法。どのベンダーに聞いても「できる」と答えるに決まっている。
  •  こういった対策は一気通貫でやらないといけません。こういうタスクがあるという理解とこういうものをインシデントレスポンスを想定したときにまわせる体制、プロセス、フロー化をぜひご検討いただきたいのです。
    quality_0096

     レベル4を目指した業務にはいろいろなプロセスがありますので、詳しくは東京IT新聞(楢原氏の連載記事)をご覧ください。
    quality_0102

    待ったなしのマイナンバー

     マイナンバーの情報リスクについては、内部犯行系、外部犯行系がありますが、行政団体、民間団体にはその監督義務が生じます。その情報を守ることはもちろんですが、漏洩したときはその事実と対処と日常的な運用をエビデンスとして報告しなくてはいけません。万一故意に漏らした場合は刑事罰が下されるという、大変厳しいものになっています。
    quality_0106

     マイナンバーを使える人や端末は限定され、セキュリティ対策をしっかり実施し、それは組織内だけでなく委託先も対象です。さらに過失が無い場合は、そのことを証明しなくてはなりません。
    quality_0108

     例えば小売店であれば、アルバイトを採用し、源泉徴収が発生する時点でマイナンバーが必要になります。本来はそれを扱える人と端末は特定されていなければなりません。最終的には集まってきた情報を社会保険労務士や、クラウドで見ていくのですが、そこで実際にやり取りされているログを取らなくてはなりません。クラウド側だけマイナンバー対策のパッケージングすればいいというわけではないということです。これを、1名の会社でも1万人の会社でも同じように管理監督しなさいというのが今回のマイナンバーなのです。
    quality_0109

     マイナンバーへの対策としては、データセンター、我々シスコのSIEM、QND(クオリティソフト)のようなエンドポイントソリューション、アナリスト連携によって内部犯行をより早く特定し対処する事が可能になります。現段階ではQNDの専用管理コンソールから運用して頂く必要があるのですが、お客様のニーズがあれば(開発は必要になりますが)QNDと我々のSIEMが連携して、リアルタイム分析をかけ、内部の危険なふるまいもプロのアナリストが分析することも検討可能です。これは内部犯行と外部犯行を統合した考え方になっています。
     セキュリティ対策については、中長期戦略が重要です。リスクシナリオを我々が全部洗い出し、それが将来どのタイミングで起こる可能性があるのかを全部マッピングします。それに対して防御策、検知策をマッピングして数値化します。その防御レベルがいったい何%なのか。このパラメータは、大手金融機関、重要インフラとここ数年侃々諤々のチューニングをしてきたものです。
     例えば現状のセキュリティは15%で、3年後に30%、5年後に50%に持っていくというように、経営層との合意を取るには数値でないと語れません。イニシャル、ランニングコストが将来に渡って、どう発生していくかを含めてサマリーを作って経営層と合意を取ります。これで中長期における会社のバイブルとなります。これをぜひ皆さまがお付き合いされているセキュリティベンダーにリクエストしてほしいと思います。
    quality_0112

    シスコシステムズ合同会社
    シスコ セキュリティ レポート
    スマホ時代に知っておきたいサイバーセキュリティ(東京IT新聞)
    日本シーサート協議会: CSIRT
    FIRST.org / FIRST – Improving security together
    クオリティソフト

    PageTopへ