IMG_icon

マイクロソフトのチーフセキュリティアドバイザーが語る「事例を参考に考察する現在の脅威とその対策」

  • このエントリーをはてなブックマークに追加

by [2015年7月08日]

IMG_icon先日クオリティソフト株式会社の主催で開催されたセミナー「~125万件の年金情報が流出~公認情報システム監査人が解説する、個人情報流出事件の手口と対策」。

IMG_0120

日本マイクロソフト株式会社 Chief Security Advisor 高橋正和氏

6月早々に発覚した日本年金機構における不正アクセス事件を踏まえて開催されたこのセミナーでは、この標的型メール攻撃による大規模情報漏洩を受けて、これをどうすれば防げたのか、さらには今の企業に必要なセキュリティ対策についての講演が行われました。

今回は、その中から「事例を参考に考察する現在の脅威とその対策」と題して行われた、マイクロソフト株式会社チーフセキュリティアドバイザーの高橋正和氏による講演をご紹介したいと思います。

▼関連記事
年金情報流出事件の概要とその手口~どの組織でも起こりうる可能性とその解決策とは~シスコシステムズ
もはやアンチウィルスソフトでは防げない~標的型攻撃の脅威と企業に必要な情報セキュリティ対策

情報漏洩を守るのは人ではない?

IMG_0124

日本のボットネット感染状況を示した地図

高橋氏はまず日本のボットネット(botnet)、つまりボットと呼ばれるウィルスやマルウェアの一種に感染し外部からの指令で一斉攻撃を行うようなネットワークを形成しているPCやサーバの活動状況をマッピングした図を示しました。

高橋氏は、ウィルス感染したらすぐネットワークを遮断すべきだ、という主張があるが、アンチウィルスソフトで削除可能なボットでも、これだけ残っているのが現状だ、としました。

さらに、それらのボットネットがバンキングトロージャン(Banking Trojan)、つまり昨今問題となっているオンラインバンキングを狙ったウィルスによるものであるとし、「不正送金を行うウィルスが、日本でもこれだけ活動しているのが実情です」と指摘しました。

IMG_0129

マイクロソフトが公表している「セキュリティインテリジェンスレポート」のウィルス感染検知率および感染数のデータ

次に高橋氏はマイクロソフトが半年に一回公開している「セキュリティインテリジェンスレポート」のマイクロソフト社内におけるウィルス検知数のデータを示しました。

ここで高橋氏は、アンチウィルスソフトのリアルタイム検知の適応率が99.85%であるとし、アンチウィルスソフトが非常に高率で最新状況に適応していることをまず指摘しました。

次に高橋氏はそうしたアンチウィルスソフトの検知状況について、「大体100カ国以上15万ユーザーで60万台のデバイスがあってマルウェアの検出数が半年で大体60万件なので、PCは半年に一回はウィルスを検知するというのがマイクロソフト社内のデータです」とマイクロソフト社内での実測値を示し、検知状況の具体的な数字として、マルウェアの感染数が87件あったことを示しました。

これはアンチウィルスソフトのリアルタイム検出で検知できなかった、つまり攻撃を受けた段階での最新シグニチャ(パターンファイル)で対応できない未知のウィルスが、後日、定期スキャンによるチェックが行われた際に、その時点での最新シグニチャで発見できるようになったもの。それを踏まえて高橋氏は「1年間では、15,000台に1台程度はウィルスに感染する」としました。

先にも触れたようにかなり厳重に防御されているはずのマイクロソフトの社内ネットワークで、つまり現在のこの種の社内ネットワークとしては最良に近い検疫体制にある環境下ですらこの程度のウィルス感染を避けられていないということになります。

IMG_0131

「攻撃の傾向とインターネット経済」と題された図

日本におけるインターネットの人口普及率とアメリカのYahoo!・Amazonの売り上げ推移を重ねて示し、インターネットの普及が進んでゆく過程で、そこでお金が動くようになる、つまりオンライン決済やネットワークバンキングなどのシステムが確立され実際に普及し一般化する以前には愉快犯型のウィルスが大半を占めていたが、お金が動くサービスの本格的な導入が始まった2004年頃以降はサイバークライム、つまり不正な手段でサービスを詐取しお金を儲けようとする犯罪者が動き始め、さらに普及が進んで情報そのものの収集に価値が見いだされるようになってくると、そうした情報が標的となる、という状況ごとの攻撃の傾向の変遷が概観されました。

単純だった愉快犯

IMG_0132

「攻撃の目的と被害の変化」
オンラインバンキングやネット決済が一般化して以降、ウィルスの攻撃対象やその動作は大きく変化した

ここで高橋氏は、ワームなどを用いた愉快犯のウィルス攻撃について「非常に単純なものです」と簡潔にコメントしました。

実際、2001年頃より前のウィルスがどんなものであったかを筆者個人の経験を思い起こしてみると、大概は1つの実行形式ファイルの形で流布され、その挙動も非常にシンプルでわかりやすく自己顕示欲の強い、自分を有名にしたい、あるいは自分の技術を試したいといった、今にして思うと非常に他愛のないものが多かった記憶があります。

そもそも、従量制課金が当たり前に行われていて、数十キロバイト程度のサイズのPDFファイルをダウンロードして閲覧するのにさえ躊躇するような状況であった当時のネット事情を思い起こすと、「非常に単純なもの」以上のことはやりたくともできなかったというのが実情だったのでは無いでしょうか。

不正な手段での金儲け

IMG_0135

「脅威の状況」
最近のウィルスによる攻撃では、このように広範囲に影響が及ぶ

これに対して「お金を儲ける」ことを主目的としたウィルスの拡散が目立つようになってからは、ウィルスの感染経路そのものが様々な形に分化し、しかもそのウィルス本体を構成するプログラムも単一の実行形式フィルではなく、複数のモジュールに分割され、しかも必要に応じてサーバからモジュールをダウンロードして動作するなど、高橋氏をして「感染した」といってもそこで何をされるのか、もしくは何をされたのか、がわかりにくくなっています」と言わしめるほどの複雑化や高度化が進みました。

高橋氏はこの種の「お金を儲ける」ことを主目的としたウィルスについて、2003年のソービッグ(Sobig)(※注1)から始まり、今であればゼウス(Zeus)とかシタデル(Citadel)と呼ばれているいわゆるバンキングトロージャンが主流であることと、目立たないとしつつもオンライン広告の詐欺がものすごく大きな損害を出していることを指摘しました。

 ※注1:いわゆるトロイの木馬型ワームの1つで、感染したPCは公開プロキシ機能(オープンリレー)をユーザーに無断で提供するようになってしまい、ワーム作成者によって勝手に遠隔操作が行えるようにされてしまうというものです。この機能により、スパム業者が発信元を隠蔽してこれら多数の感染PC上で公開されたプロキシサーバからスパムメールを大量送信するのに悪用されました。つまり、スパム業者がスパムメールを大量送信するという「営利目的」に利用されたということで、このSobig系ワームは組織的かつ営利目的でのウィルス/ワームの最初期例と見なされています。この系列のワームは一部の亜種で実に3億通以上ものスパムメール送信を行って物流その他に非常に大きな被害をもたらし、さらに偽装により濡れ衣を着せられたマイクロソフトがこのワームを作成した犯人逮捕のために巨額の賞金をかけたことで話題になりました。この系列のワームの出現により、世界各国で送信者情報を偽装した広告・宣伝メールの送信を禁止し、それを行うものに対する刑事罰を含んだ迷惑メール防止法の整備が進み、さらに国際的な取り締まり協力が促進されるようになっています。

続けて高橋氏は、ランサムウェア(Ransomware)、すなわち感染すると感染先マシン内のデータを勝手に暗号化してアクセス不能にし、それを解いて欲しかったら金を払え、といった脅迫を行うタイプのウィルスにも触れました。

このランサムウェアは、非常に巧妙な脅迫を行うのが特徴で、例えばアメリカの例では「FBIだが、君の持っているコンテンツに違反があるから暗号化しておいた、交通違反と同じように罰金を払えば戻してやる」というような脅迫を行うランサムウェアがあるとのことです。

一体どんな違反かはともかくとして、特に男性ユーザーの場合後ろ暗いデータの1つや2つは心当たりがある人も多いようで、こうした不当な脅迫に黙って金を支払ってしまうユーザーが多いらしく、高橋氏はこうしたランサムウェアは非常に儲かっているようだ、としました。

なぜ機密情報が簡単に盗られるのか?

次に高橋氏は、機密情報が盗られたケース、つまりいわゆるサイバーエスピオナージに触れ、一連の情報流出事件も、これに該当すると思う、とコメントしました。

このタイプの攻撃はいわゆるスパイ活動で、産業スパイもいれば国のスパイもいて目的が様々ですが、いずれにしても情報収集していくことを目的として攻撃を行うものです。

ここで高橋氏は、「何故機密情報をそんなに簡単に盗られるのか?」という疑念について、セキュリティ対策は境界領域防御とアンチウィルスが基本であると考えている人が多いと思う、として、この種のウィルスの挙動を示しました。

具体的には、「機密情報を外に持ち出さないこと、ウィルスやマルウェアをイントラネットに入れないこと、というのがセキュリティの基本だと思われていますが、機密情報を盗むタイプのウィルスがメール、Web、USBメモリ……そういうものを使って(イントラネットの)中に入ってきて、ラット(Remote Access Tool:RAT)やバックドアと呼ばれる小さなプログラムをダウンロードし実行します。これにより、システム管理者がデータセンター中のサーバを管理するのと同じように、イントラネット中のPCやサーバを渡り歩き、必要な情報を盗ってくる」とのことで、様々な手段でイントラネットに侵入したウィルスが感染したPCやサーバにいわゆるバックドアを設けて情報の抜き取りが遠隔操作で行われることが説明されました。

続いて高橋氏はサイバーウォーフェア、つまりサイバー紛争の一例としてスタックスネット (W32/Stuxnet)を取り上げました。

これはイランの原子力発電所の制御装置を動作させるコンピュータに感染し、その制御装置を操作して(原子炉燃料のウラン濃縮に使用する)遠心分離機を壊してしまった、というソフトウェアでハードウェア(遠心分離機)を破壊してしまった、ある意味歴史に残るようなウィルスなのですが、高橋氏は「国家レベルだろうといわれています」(※注2)、と語りました。

 ※注2:このスタックスネットはこの種のワームとしては異例の、当時のWindowsに存在した印刷機能に関わる脆弱性をはじめ多数の未知の脆弱性を組み合わせて利用する非常に高度なコードで構成され、(そもそもその仕様・機器構成を通常の手段では知ることが困難な)イランの原子力施設で導入されていたドイツ・シーメンス社製制御機械の遠隔監視・制御システムの一部だけを狙い撃ちして物理的に制御される機器を破壊してしまうという特異性、あるいは目的の露骨さから、これらの施設によるイランの核開発を阻止しようとする西側陣営諸国の関与が、2010年に最初の感染と被害が発覚した直後から当のイラン政府自身をはじめとする関係各所で指摘されていました。実際にも、ニューヨークタイムズでアメリカ国家安全保障局(NSA)とイスラエル軍の情報機関がこのスタックスネットを共同開発したと報じられ、さらに「ウィキリークス」での機密情報暴露で有名になったエドワード・スノーデン(元NSA職員)が同様の内容の証言をしたとドイツの雑誌インタビューで報じられています。

さらに高橋氏は「このスタックスネットの流れで、2013年にマイクロソフトの証明書を暗号上の弱点を使って破るウィルスが見つかりました。これをやれる組織は少数の国家レベルの組織しかないと考えられています」と国家レベルの組織だったサイバー攻撃が存在することを示唆しました。

この種の攻撃について高橋氏は、「敵は誰だ、と考えると実はいろいろな人がいるので、相手を潰すことを考えるよりは、自分を守ることを優先した方が遙かに効果が高いと思っています」とコメントしており、ウィルスによる攻撃に対する防御を重視することを推奨しています。

デジタルクライムユニットの活動

IMG_0142

DCUの活動によるボットネットのテイクダウン

もっとも、だからといってこの種のサイバー犯罪を放置していて良いとは思っていない、と高橋氏は語り、「デジタルクライムユニットという部門がマイクロソフトにあり、そこがボットネットのテイクダウンなどを行っています」とマイクロソフト社内でこの種のデジタルクライム対策を行っているデジタルクライムユニット(Digital Crimes Unit:DCU)の活動と、その一例としてボットネットのテイクダウンを紹介しました。

ボットネットは不正送金などを行うための基盤になっている技術で、感染した数万台~数十万台規模のPCやサーバを自在に操って攻撃を行い、さらには必要に応じて各感染マシンの攻撃パターンファイルを更新するなどして攻撃力を維持し、不正な収益を上げ続けるためのものです。

高橋氏曰く「シタデルなどはバンキング・トロージャン(Banking Trojan)と呼ばれるため、ボットネットだと思っていない方が多いのですが、例えば銀行側で(攻撃に対する)対策を打つと、数日でその対策をくぐり抜け不正送金を行います」とのことで、さらに「なぜそういう素早いな対応ができるかというと、C&C(Command&Control:指令サーバ)を通じて、ボットネットが犯罪者とつながっており、銀行が施した対策を見て、それを回避するようにボットを更新するため、被害が止まらないという実態になっています」と銀行と犯罪者の間で対策と回避が繰り返され、いたちごっことなっている状況が示されました。

こうした状況を打破するには、ボットネットそのものをテイクダウン、つまりマルウェア感染マシンによるネットワークを崩壊させて機能できないようにするのが有効なわけで、マイクロソフトではボットネットをテイクダウンすることを色々やっているのだそうです。

このテイクダウンの手法も実はすごく面白いのですが、これを話し始めると長くなるので簡単にとどめておきます、と前置きをして高橋氏が例に挙げたのは、この種のボットネットテイクダウン作戦では大きな効果を上げた事例として知られる、2010年~2011年頃に猛威を振るったラストック(rustock)と呼ばれる系統のボットネットをテイクダウンした事例でした。

当時筆者の使っていたメールアドレスには(うかつにもWebサイトでアドレスを公開していたためもあって)、それはもう凄まじい数のスパムメールが送りつけられてきていたのですが、それがある日を境に唐突に急減したことがありました。

思い返せばそれはまさに高橋氏の語るこのラストック系ボットネットのテイクダウン作戦の実施時期と重なっており、高橋氏曰く「これで世界中のスパムメールが1/4ぐらいになりました」とのことで、デジタルクライムに対抗する部署にとって大きな成功であったというのもさもありなん、といった感じです。

このラストック系のボットネットはその後も現在に至るまで、作戦成功時のレベルの感染数・規模で推移しているそうで、これを指して高橋氏は「1つにはスパム(メール)の送信がもうサイバー犯罪者の収益の中心ではなくなってきているので、彼らが同じことをやってない、という可能性もありますが、サイバー犯罪の活動の基盤を壊すということで、全般的には平和なインターネットの方向に持って行ける可能性がある――そういう事例だと思っています」という見解を示しました。

筆者としては、まだしも希望の持てる後者の見方を支持したいところですが、昨今のサイバー犯罪者の組織化・高度化ぶりをみていると、前者の見方の方があっているような気がしてなりません。

ITの課題

IMG_0157

6/1に公表された事案に関する報道のまとめ

高橋氏は続けて、今回の情報漏洩の直接のきっかけとなったウィルスメールの開封について触れました。

氏は「今回の事件も、ウィルスファイルを開いた事が発端となっています。しかし、これは飛行機で言えば乗客が何か失敗したようなものなのです」と語り、「操縦士がIT部門であるとすれば、ITのユーザーは乗客ですから、乗客が何か日常の中で少しミスをする。それで飛行機が落ちてしまうような設計は(ミスをした)乗客が悪いのではなく、飛行機の設計そのものに問題があると考えるべきです」と主張しました。

安全が何より重視される鉄道業界などでよく使われる言葉に「フェイルセーフ」、つまり何かトラブルが起きた場合に危険側に倒れず必ず安全側に倒れるようにするという考え方があるのですが、今回の場合で言えばユーザーがウィルスメールをうっかり開封してしまうようなミスはどうしても起こってしまう可能性があるものと想定し、それが起きた時にどのようにして危険側に倒れないように対処する仕組みを構築するのかが重要なのです。

実際、どんなユーザーでもミスが皆無というのはほぼあり得ないわけで、そういう「弾が当たらなければどうということはない」的なパーフェクト回避を組織の構成員全員に要求するというのはそもそも無理な話です。

であるならば、何かが起きた時に必ず安全側に倒れるような仕組みを用意せねばならないのです。

その仕組みについて高橋氏は「ピープル(人)だけではなく、プロセスとプロダクト(テクノロジー)を組み合わせて考える必要があると思います」と述べ、一方で「ツール(セキュリティ製品)だけに頼るのでは対策の効果は期待できません」と付け加えました。

曰く「セキュリティ製品はオープンカードなので回避の仕方を確立しやすい面があります。アンチウィルスソフトなどのセキュリティ製品は絶対に必要です。ただし、アンチウィルスソフトが一定期間は検知できない状況を作り出すことは、それほど難しいことではありません」とのことで、アンチウィルスソフトなしでのセキュリティ対策はあり得ないが、そのアンチウィルスソフトで検知できないウィルスを作り出すことはできて、そのためこうしたツールだけでの対処には限界があることを示唆しました。

それでは一体ウィルスの作者は一体どうやってアンチウィルスソフトで検知できないウィルスを作成しているのか、という話になるのですが、高橋氏が告げたその手法は目から鱗というか、非常にシンプルかつ合目的なものでした。

それは何のことはない、アンチウィルスソフトで日夜更新されアップデートされ続けているパターンファイルを逆手にとって、その最新版を試金石として作成したウィルスが検知されるかを確認し、検知される場合には検知されなくなるまでひたすらパラメータを変えてウィルスを作成し続ける、といういささか原始的だけどこれ以上はないほどに確実な手法だったのです。

何しろ、最新のパターンファイルでアンチウィルスソフトの挙動を確認済みなのですから、少なくとも誰かが何らかの手法でそのウィルスを発見し、今後のパターンファイル更新によりアンチウィルスソフトで検知されるようになるまでの間は、そのウィルスは何かよほどの偶然が無い限り、アンチウィルスソフトで検知できないということになります。

つまり、言い換えればその期間中はネットワークへの侵入成功が期待できるわけです。

そのため、高橋氏はそうした侵入への対策として、PCやサーバの統制が必要であるとしました。

「例えば今回の事件の中でも、アンチウィルスソフトのパターンファイルを適用するように通達があったと言われていますが、強制的な適用ができない状況にあることを示唆しています」と語り、「IT部門が必要だと思ったことが――すぐにとは言いませんが、例えば1時間以内に全社展開できる仕組みが必要だと思います。また、なぜウィルスが活動できるのかを考えると、システムの特権が奪われている可能性が高いと考えられます。PCが管理者権限で利用されていることも少なくありませんが、特権管理を厳密に行わないと、現在の攻撃に対応することは難しい」と続けて、こうした特権管理とPCやサーバの統制の必要性を示しました。

さらに高橋氏は、「PCの統制や権限管理ができて初めてツールが有効に機能するのが現状です。そして、製品の調達基準に加えて、USGCB( United States Government Configuration Baseline:米国政府共通設定基準)などに代表される具体的な設定方法を明確にする必要があります。Windowsや、Macだけでなく、ファイアウォールなどのセキュリティ製品についても、具体的な設定がアメリカのNIST (アメリカ国立標準技術研究所)から公表されています。米国の政府内で使用するIT機器は――実情は判りかねますが――全てこの設定に従うことになっています」としてアメリカ政府での製品調達基準やその運用に当たっての設定がマニュアル化されていることを紹介しました。

この種の基準や設定を徹底的にマニュアル化するのはアメリカ政府のお家芸のようなものですが、実際問題としてこうしたマニュアル化は避けて通れませんし、その延長線上での特権管理やそれを対策するための仕組みは必要です。

高橋氏はここで、日本の現状についての考えを示しました。

「セキュリティ製品はどこも入っているでしょう。政府関係の機関では調達基準も採用されています。でも、具体的な設定方法について規定している組織は、ほとんどないと思います。こういう中で今回の事件が起きているというのは――人の問題、それも確かにありますが、具体的な設定が明確ではないことに加えて、全てのPCやサーバに設定を順守させるためのアーキテクチャが不十分なのだと思っています」

また、「なぜPC上でマルウェアが動いてしまったのでしょうか」とも指摘し、一連の問題について人的な問題というよりはむしろセキュリティのアーキテクチャの欠落に問題があったことを示唆しました。

続けて高橋氏は「漏えいした情報にパスワードをつけていなかったことが問題となっていますが、パスワードが付いていても実際はすぐに解けてしまうと思います。例えば、32文字以上の英数記号の組み合わせを強制するという仕組みと一緒に運用していたとしたら、暗号の強度は高いと考えられます。しかし、一般にはこのような対策が行われておらず、数文字のパスワードが任意で使われている状況だと思います。このようなパスワードで暗号保護しても、実際には機密を担保することにはなりません」と指摘し、情報保護を強制力のないパスワードに頼ることが情報漏洩の一因となったことを示しました。

その一方で高橋氏は、ネットワークの切断については「外部から連絡があったと言われていますので、そこで手動による切断・遮断に3時間かかったと――これも問題として指摘されていますが、3時間でも止められてよかったと考えています。擁護しているわけではありませんが、実際やってみると意外に大変なはずです」とコメントし、「そこのネットワーク管理者がなぜそのPCを抜かなければならないか、ということを説得するのに(時間が)かかったり、それを誰の権限でやれば良いのかが決まっていなかったりします。また、外部への通信が検知されている状況であれば、3時間でも5分でもあまり変わらないのが実情だと思います」と語り、ネットワーク切断の難しさの実例を挙げて説明しました。

問題の対策

IMG_0161

暗号化による情報保護

ここまでを踏まえて、高橋氏は「検知や防御が必要、後はPCを、先ほどUSGCBの話をしましたが、きちんとした設定にする、あとは情報がもし盗られてもそれが保護されている状態を維持しなければなりません。それを統括的に管理するシステム基盤を作っていく必要があって、さらにはトレーニング・教育で人を見ていく必要がある」という見解を示しました。

こうした管理のシステム基盤構築について高橋氏は幾つかのポイントがある、として暗号化の詳しい説明を、Windowsでの実例を挙げて行いました。

まず高橋氏が取り上げたのが、BitLockerと呼ばれるボリュームレベルの暗号化をする機能です。こう書くとBitLockerだけで暗号化問題が解決するようですが、曰く「BitLockerがあれば、他は何も要らないのかというと、そんなことはありませんが、BitLockerの目的は認証のバイパスの対策です。例えばこのPCを紛失したとします。そこでパスワードとIDで保護されているから大丈夫、と主張したいのですが、物理的にディスクを抜かれて他のコンピュータにつながれるとそのまま読まれていまします。それを防ぐための仕組みがBitLockerです」とのことで、このBitLockerがどちらかと言えばハードウェア寄りの部分での暗号化を司る機能であることがわかります。

次に高橋氏は、EFSと呼ばれている、ファイルやディレクトリの単位で暗号化する機能をBitLockerとの対比で紹介しました。

「BitLockerにはマシンという概念がありますがユーザーという概念がありませんが、EFSはユーザーに紐付いてます。ユーザーごとに証明書を使って、対処していくので、例えば私以外には読まれたくない、システム管理者にも読まれたくない、というようにある程度コントロールできるのがEFSです」とのことで、これはOS上でのユーザーのアカウントに基づいた機能であるということになります。

もっともこれらだけでは限界があって、「BitLockerやEFSは、システムが自動的に暗号化・複合化を行うので、例えば、暗号化したファイルをメールに添付すると、復号された状態で送信されますし、Winnyのようなもので送信された場合も、やはり復号された状態で外部に送信されます」と高橋氏は語りました。

IMG_0162

RMS(Rights Management System)

高橋氏曰く「この課題を解決するのがRMS(Microsoft Windows Rights Management Services)――いろいろなベンダーが同じようなものを出していますが――システムレベルではなく、アプリケーションレベルで暗号化・復号化を実施します。しかも認証に紐付いた証明書を使って、暗号、コピー、印刷、転送などをコントロールするものです」としました。

ここで高橋氏は、「昔マイクロソフト幹部のメールが、よくオンラインのニュースにそのまま載っていましたが、最近載らないですね」と語り、最近掲載が無いのは社内でRMSを全面展開して、社内向けのものは社外に出ないような設定にしているためだとしました。

もちろん、そのような状況でも例えばメールを表示した状態のディスプレイを撮影されればその本文の流出は避けられないのですが、それでもメールそのものが外に出ることは論理的に無くなるわけです。

このため、そういった情報が直接外に出るということがなくなってきて、マイクロソフト幹部筋の情報によれば、という伝聞でしか書かれなくなっています、と高橋氏は語りました。

IMG_0163

RMSの自動設定
下段にShare Pointが紹介されている。

さらに高橋氏は、RMSの効果的な利用方法として、Share Point(Microsoft Office SharePoint Server)を挙げました。

このShare Pointでは、特定のフォルダにファイルを入れるとRMSを自動的に適用することができるので、「ユーザーに頑張れと言うのではなく、保存する場所を決めて、そこにファイルを入れてもらえれば、自動的に暗号がかかります。何らかの形で――例えばそれをメディアに落として外に持ち出してもその暗号は復号できないので、今回の事案も、ここだけでもやってあればよかったと思っています」という見解を高橋氏は示しました。

IMG_0164

Office 365のAdvanced Thread Protectionによるメール保護概念図

一方、メールの保護について高橋氏は、「先日Office 365上でExchange Online Advance Threat Protectionというサービスを発表しました。(添付ファイルなどの)怪しいものについては(サンドボックスと呼ばれる)仮想環境で実行してチェックをします。リンクについても保護をした形で開けるようになります。Office 365で稼働するツールなのでメールシステムを使って通知し、疑わしいメールの受信状況を把握できるようにコンソールが用意されています」と自社サービスでの保護の実際を示しました。

このあたりについては、完全に製品レベルでの対策の動作状況の話にならざるを得ないのですが、隔離された仮想環境上でファイルを実行してその挙動を確認する、というのは高橋氏自身が指摘しているように他社のセキュリティソフトで先行して実装されている機能ですが、アカウント管理やメール管理の一部として実装されていることがポイントだとのことです。

統制

IMG_0167

Active Directoryを利用したPCやサーバの管理状況

ここまでも記してきたとおり、こうした暗号化や保護の仕組みを用意しただけでは問題の解決にはならず、セキュリティについて何らかの統制が必要になってきます。

ここで高橋氏は、自社製品の搭載機能であるActive Directoryを中心にして統制を行っているマイクロソフト社内のシステムを紹介しました。

これによれば「全体の物理的ネットワーク・IDとアクセス・ホスト・アプリケーション・データという全体をActive Directoryでコントロールし、その中でグループポリシーという仕組みを使って(社内ネットワーク上の)全てのPC・サーバに対して、標準化された設定を強制的に適用していきます。後はPKI(public key infrastructure:公開鍵基盤)を動かしていき、これによって暗号の制御や、スマートカードと連動した入退室管理という物理的なセキュリティにつなげています」とのことで、かなり高度な統制を行っていることがわかります。

IMG_0170

さらに高橋氏は、マイクロソフト社内で行っているロジカルセグメンテーションにも触れました。

これは「会議室に来ていただくと、LANのコネクタが用意されていますが、お客様が接続した場合と社員が接続した場合で(ネットワークの)見え方が違います。マイクロソフトの社内ネットワークでは、PCやサーバが通信をする際に、IPsecによる1:1のトネリング(Tunneling)を要求しますが、トネリングのためには、IT部門が発行する証明書が必要です。社内のドメインに参加している社員だけに必要な証明書が配布されるため、社外の方は社内ネットワーク内のPCやサーバと通信が行えません」とのことで、なかなかうまい仕組みを構築しています。

これらを踏まえて高橋氏は「例えば外部から連絡が来て、このPCが感染しているとわかっているからすぐ遮断しろ、というときに、そのユーザーの証明書を無効(revoke)にすればよいのです、そうするとこのセグメントからワイヤレスでつないでいても、物理的に(有線接続で)つないでいても、ネットワークから分離することができます。あまり知られていない手法ですが、効果的な手法であることを実感しています」と語り、一連の事件ではこうしたセキュリティ基盤の整備が欠落していたことを示唆しました。

また高橋氏は「いろいろな形で――足し算ではなくて、アーキテクチャとしてのセキュリティ、もしくはアーキテクチャとしての運用が提唱され始めていると思います。基盤としてのアーキテクチャがない状態で足し算のセキュリティをやっていくと、IT部門に対する負荷が級数的に増えていきます。運用の手間が増えるだけではなく、どこにセキュリティ上の問題があるかがわかりにくい、バージョンアップもできない、ということになりやすいと思います。合理的なアーキテクチャの基で統制された環境をもう一回作り直し、そのうえで運用とセキュリティ再考してはどうか」という提案を行いました。

IT部門は往々にして対策が後手に回ってしまい、足し算、つまり対症療法的なことの積み重ねで攻撃などに対処せざるを得ない、という状況に陥りがちなのですが、それを回避するには統制された環境の構築が有用である、というのは納得のゆくところです。

続けて高橋氏はクラウドについて、「これもまた弊社の製品で恐縮ですが、EMS(Enterprise Mobility Suite )というサービスとして提供しています、例えば先ほどの暗号化(RMS)の処理です。これを社外の人と共有できるようになります。また、ドメインに参加していないデバイスを管理できるようにするなど、現実の運用に則したセキュリティ対策を提供しています」と簡単に触れました。

IMG_0175

セキュリティ対策の推移

ここでMSーIT、つまりマイクロソフト社のIT部門が作った、セキュリティ対策の推移図が示されました。

高橋氏曰く「セキュリティと言えば昔ネットワークだった」とのことで、昔のことを思い起こしてみると、確かにウィルス対策にしろ何にしろ、昔はネットワーク接続の水際防御に終始していました。

それが、時代の変遷と共に今の標的型攻撃とかに変わってきて、ホストでの対策が重視されるようになり、さらにクラウドやモバイルデバイスなどが台頭しデータの所在が分散してくるようになると、今度はデータそのものの保護が重視されるようになっていったわけです。

次に高橋氏は「事例から学べること」として、「日本の中に限らないのですが、リスクマネージメントの話をする人はもの凄く安全なところにいて、遠いところにあるリスクの話をしている気がします。実際には事業そのものがリスクの中で生きているわけです。その中で特に何もしないでいる、ということはどこかにぶつかる、きちんとコントロールできない、ということになります。リスクマネージメントは実は、組織の当事者としての問題である、ということをまず覚えていただきたい」とリスクマネージメントについての危機感や当事者感覚の欠如に警鐘を鳴らしました。

さらに氏は「Do more with lessと言いますが、もっと安く、もっと多くの事をできないのか――いつもこういう質問をされていると思います。これに対応していくためにはBest of need、つまり、必要なものを見極めてそこからまずやっていくこと」と語り、「ISMS(Information Security Management System:情報セキュリティマネジメントシステム)などがよく規範とされますが、実際には正解が外にあるわけではありません。正解は自分たちの中にしかないのに、それを外に求めると、ただリストを埋めて、必要かどうかも判らない投資をしなければならなくなります」と内的な問題について外的な「正解」を求めることを暗に批判しました。

ここで高橋氏は、「セキュリティとは何だろう、ということを考えていくと、本来、ビジネスイネーブラーであるべきだと思っています」と語り、「セキュリティが担保されているから他の会社ができないようなことができる。セキュリティが担保されているので働くライフスタイルや人口構造の変化に従った働き方ができる、そういうセキュリティになって欲しいと思っています」と続けてIT・セキュリティの構造変化を促しました。

最後に高橋氏は「日本は、このように結構ボットに感染しています。ウィルス全般で見ると感染率はそれほど高くないのですが、お金につながるボットを見ていくと、相当狙われているのが実情だと思います。本日のセミナーでいろいろな対策、ソリューションが紹介されていますので、皆様の組織の中で、それをどうやって適用していけば良いのか、この点を考えていただければと思います」と語り、「今、しのぐために何かを足し算(による対症療法的対応)することが悪いとは限りません。しかし、現在ではITの運用の問題とセキュリティを同じ文脈でやっていかないと、難しくなってきているというのが実感です」という言葉で今回のセミナーを締めくくりました。

▼参考リンク
日本のセキュリティチーム – Site Home – TechNet Blogs
Online Advanced Email Threat Protection | Exchange
日本マイクロソフト
クオリティソフト

PageTopへ