第2回:SNSがもたらす新しい脆弱性
2016-10-11
――SNSの光と影
対談者
TMI総合法律事務所 パートナー弁護士 大井 哲也(写真左)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)
近年、SNSがわれわれの日常生活で使われています。そういったソーシャルなサービスが飛躍的に普及することによって、これまであまり表面化していなかった脆弱性が狙われ、個人情報が漏えいする事故が次々と起こっています。具体的に、どのような盲点があり、どう対応するべきなのか、ソーシャルを巡る危機と課題を探ります。
追いつかないセキュリティ対応
神薗 前回、クラウドの話が出ましたが、最近はクラウドが使われるようになり、さらにSNS(ソーシャル・ネットワーキング・サービス)も普及しているために、システムが煩雑になっています。そのため、サイバー攻撃を受けた時にSOC(Security Operation Center=セキュリティ監視センター)やCSIRT(Computer Security Incident Response Team=コンピュータセキュリティ対策チーム)が、上手く機能していない印象があります。例えば、被害を受けた組織では、情報システムのチームがSOCを立ち上げたり、CSIRTを作って、子会社の情報システム会社、さらにマネージドサービス会社などと上手く連携してインシデントに対応しなければなりません。
しかし、われわれがそういう事例をよく分析してみたところ、マネージドサービスがきちんとした報告を挙げているにもかかわらず、そのアラートを誰がハンドリングして主導していくのかが決まっていなかったり、さらには、そのアラートをきちんと分析できないがために、ハンドリングをしようとしても上手くいかなかったり、といった例が多く見られました。
大井 セキュリティを担う各部署や、外部のベンダーとの有機的な連携がとれていないためにポテンヒットが発生し、結局誰も対応しない、という事態が起きてしまうことは十分あり得ます。現状では、会社の情報システム部門だけでセキュリティの全てをまかなうのは、能力的にも、マンパワー的にも難しいとなると、どうしても外部の知見を導入せざるを得ないことになります。
ただ、外部の知見を導入するにしても、それが社内の情報システムと、外部のセキュリティベンダーとの間で、情報を共有して連携を深め、また、チームの役割分担をどうするか、という体制を構築しておかなければ、どうしてもポテンヒットが起きてしまうと思います。
神薗 そのとおりです。SOCやCSIRTを作るだけでは不十分で、子会社や連携機関との役割分担や体制をしっかり構築することが重要です。大事なのは、他部署や他機関、他組織との連携です。そのことが新たな問題を防御するための最も大事なポイントの一つになると思います。
ベストプラクティスの瓦解
神薗 技術的な面について言うと、SNS(ソーシャルネットワークサービス)などが出てきたことによって、システムの設計や運用が煩雑化の一途を辿っています。それが原因で、今年、同時多発的なサイバー攻撃を受けて、情報が漏えいしてしまう事故が起こりました。SNSの利用によって、いろいろな脆弱性が狙われてしまったわけです。
ただ、一般的なルールとしては、例えば、公開しているウェブサーバーなどのサーバーから、アウトバウンド(外部)に通信するようなことは、必要以上には許可されていないことです。これはセキュリティを重視している組織では、昔から実施されていたベストプラクティスの一つです。ところが、この事故では、そういったベストプラクティスが上手く踏襲されていなかったのです。実はそこにSNSを利用する際に意識しなければならない一つの課題があるのではないかと思います。
大井 問題は、システムや設計の脆弱性だけではないということです。
神薗 はい。というのは、いろいろヒアリングさせていただいたところ、SNSを運営している企業の側は、人をもっと引き込みたいと考えています。そこでウェブサーバーや公開サーバーにSNSなどのさまざまなサービスを連携させて、組み込みました。その際に、どうしてもサーバーがアウトバウンド(外部への通信)を必要とするので、仕方なく、これまでのベストプラクティスのフィルターなどをはずしてしまったのです。さらに、コスト面などから、人手をあまりかけることができないためSNSなどの導入設計を怠り、全てのアウトバウンドを許可してしまいました。こういったところが、情報漏えいの大きな事件に発展してしまった主な原因ではないかと思います。
大井 そうですね。システム間、サービス間の連携が進むと、どうしてもトランザクション(一連の情報処理)の管理が複雑化してきます。他のサービスとの連携によって、外部へのトランザクションの道が開けた場合、そこも含めて、より一層管理をしていかなければいけないことを痛感しました。
神薗 もう一つの課題は、今まで外部ネットワークからの不正アクセスを防ぐために、当然のことですが、セキュリティ対策を取ってきました。WAF(Web Application Firewall)やIPS(Intrusion Prevention System)などを使って防御していたわけです。しかし、例えばウェブサーバーにSNSを導入すると、どうしてもWAFやIPSが多数の誤検知を発してしまうのです。
そういったことに対して、やはり人手をかけることができないこともあって、SNSを入れたサーバーは、WAFやIPSを監視対象外にしてしまったのです。つまり、SNSなどを導入することによって、セキュリティを甘くしてしまい、結果としてセキュリティホールを作ってしまっていると言えるのではないかと思います。決してSNSは悪いものではなく、ユーザーや企業にとって画期的なものですが、セキュリティの面がまだ追いついていない個所が多々あると感じます。
大井 確かに、そういった背景があると感じます。
脆弱性診断の認識を変える時が来た
神薗 第1回目でも話が出ましたが、クラウド技術やSNSサービスの台頭により、脆弱性診断そのものも複雑化しているのではないかと感じます。例えば、システムに対して脆弱性診断をする際、場合によっては、プラグイン(ソフトウェアの機能を拡張するためのツール)などは、すでにパッケージとして存在していて、昔から使われてきました。従ってコスト面から考えて、それに対しては脆弱性診断をしていない組織が多いのが現状です。クラウドを利用する場合も同様のことが言えます。
今年、起こった個人情報の漏えい事件で狙われたのは、まさに、そこでした。具体的に言うと、独自開発していた個所はしっかりと脆弱性診断を実施されていましたが、未知の脆弱性が利用されたプラグイン部分は診断を実施していませんでした。
大井 そのような情報漏えいの事故について、今後、どのような対応をすべきかを考えると、やはり脆弱性診断を高度化していくことになると思います。そうなると、知見のある外部のセキュリティベンダーが、全体的に見て、どういう診断をするべきか、というところから、アドバイスをすることになるのでしょうか。
神薗 そうなると思います。診断を受ける側は、自分たちが作り込んだシステムだけを診断すればよいと考える傾向があります。しかし、そういったことが、結果として新しい脆弱性を発生させてしまったのではないかと思います。今後は、しっかりと構成を踏まえた上で、適宜、自分たちが作り込んだ部分以外の診断も必要になると考えています。
また、被害を受けた組織の多くは、やはり不要なコマンドやサービスが起動していたのも記憶に新しいです。脆弱性診断以外にも、攻撃者に侵入された後、できる限り攻撃者が活動しにくくする対策を施すことが重要です。これらについて、きちんとフォローしていくことが重要になると思います。
SNSがもたらす新しい脆弱性
大井 これまで見てきたように、SNSの普及によって、新しいセキュリティの穴が見付かりました。システムやサービスの連携が進んで、管理が複雑化している現状においては、これまでの発想にはないセキュリティ管理が必要になってきます。
神薗 SNSの導入によって新たに発生した脆弱性を整理してみると、1つ目は、ベストプラクティスが遵守されないために、新しいセキュリティホールなどが発生してしまっていることだと思います。
2つ目は、どうしてもシステムが煩雑化するために、脆弱性の管理や確認不足が出て、脆弱性が放置されてしまうことです。そういった流れがよく見られるようになりました。
3つ目は、設計不足です。SNSを導入するには、導入するための設計と、今までのセキュリティが担保できるという設計が、当然必要ですが、それがきちんとできていないことが、さまざまなケースで浮き彫りになってきました。また、SNSを導入することは、要するに新しいデータを保存しなければならないということです。しかし、設計不足であるがために、そういったデータの保存先が集中してしまっているのが現状です。必要な情報を振り分けて、管理できるようにする必要があります。
最後の4番目として、未整備な体制が挙げられます。新しいシステムの導入にSOCやCSIRTが追いついていないため、上手く立ち回れずに、被害が拡大してしまうケースが見られます。
大井 同感です。自社におけるシステムだけでなく、外部の連携システムも含めて、トータルでセキュリティのレベルを上げなければならない現状に直面しています。
その意味では、情報システム部門の人の責任がどんどん重くなっていると感じます。しかしやらなければなりません。そのための人材育成や体制づくりも、重要な課題であると思います。
神薗 当社は、人材育成やレベルアップのための演習も提供しています。この役割はますます大きくなるでしょう。常に新しい脆弱性に対応できるものを提供していきたいと思います。
※法人名、役職、対談の内容などは掲載当時のものです。
