デジタルトラストの構築に向けたPwCのアクション:セルフアセスメントの限界‐TLPTの実戦(GMOクリック証券)

GMOクリック証券株式会社の唐澤 利行氏、PwCあらた有限責任監査法人の小林 由昌

「東京2020オリンピック・パラリンピック」を目前に控え、日本に対するサイバー攻撃の脅威は高まっています。特に金融機関を狙った攻撃は急増しており、サイバーセキュリティ対策は喫緊の課題となっています。そのような状況下、金融業界を中心に注目されているのが、攻撃者の視点に立脚し、実機・実戦型のサイバー攻撃対応態勢を検証する「TLPT(Threat-Led Penetration Test、脅威ベースのペネトレーションテスト)」です。先ごろGMOクリック証券株式会社ではTLPTを実施し、セキュリティ対策の“思わぬ抜け”を痛感したと言います。同社取締役で情報システム部長を務める唐澤利行氏に、金融庁への出向経験があり「金融機関等におけるTLPT実施にあたっての手引書」の制作にオブザーバーとして参画したPwCあらた有限責任監査法人の小林由昌が、TLPTの実践とそこから得られた気づきについて伺いました。(文中敬称略)

※備考
本対談は2019年11月13日に開催された「PwC’s Digital Trust Forum 2019 デジタル化する社会におけるサイバーセキュリティとプライバシー」のセッションを基に再構成したものです。

対談者

GMOクリック証券株式会社
取締役 情報システム部長 唐澤 利行氏

PwCあらた有限責任監査法人
シニアマネージャー 小林 由昌

GMOクリック証券株式会社 取締役 情報システム部長 唐澤 利行氏

どこが違う? 既存のペネトレーションテストとTLPT

小林:
最初にGMOクリック証券の概要と、唐澤さんの業務内容について教えてください。

唐澤:
2005年10月に設立されたGMOクリック証券は、実店舗を持たないインターネット証券会社で、GMOフィナンシャルホールディングスの100%の子会社です。

私が統括するGMOクリック証券の情報システム部では、システムリスクのアセスメントや、特定リスクに対する監視と対策(コントロール&アクション)の策定などを実施しています。ITインフラの構築やシステムの開発・運用といった業務は、GMOフィナンシャルホールディングスが対応しています。

サイバーセキュリティ対策は、GMOフィナンシャルホールディングスとGMOクリック証券の情報システム部が合同で実施しています。具体的には社内CSIRT(Computer Security Incident Response Team)やSOC(Security Operation Center)の構築・運用に加え、セキュリティ製品の導入や脆弱性診断の定期的な実施といった平時の対応から、インシデント発生時の初動対応訓練、業界横断型のサイバー演習への参加など、有事に備えた準備を実施しています。

小林:
今回は唐澤さんに、GMOクリック証券でのTLPT(Threat-Led Penetration Test)の取り組みについてお伺いします。その前に、TLPTの必要性が高まっている背景、TLPTがどのようなテストなのかについてご紹介します。

TLPTと従来のペネトレーションテストの違いについてよく聞かれるのですが、まずは違いを整理したいと思います。

唐澤:
従来のペネトレーションテストは、既知の攻撃手法でシステムへの侵入を試みるものでした。つまり、「攻撃者に狙われ得るセキュリティ上の欠陥があるかを確認する」ことが目的です。

小林:
一方、TLPTは、特定の組織・業界に対し、実際に起こっているサイバー攻撃と同様のシナリオで攻撃を仕掛け、セキュリティ対策の実効性を防御・検知・対応の面から包括的に検証するものです。

TLPTでは、従来のペネトレーションテストでは判明しなかった技術的な脆弱性だけでなく、「人・組織」「プロセス」といったセキュリティ対策に必要な要素も総合的に評価できるのが特徴ですね。

唐澤:
実践的なシナリオに沿った攻撃を動的に仕掛け、各企業・組織特有の課題を見つけて対応を改善することで、総合的なサイバー攻撃対応態勢を強化できます。

小林:
金融業界ではTLPTが非常に注目されています。TLPTという言葉が世界的に認知されるきっかけになったのは、2018年10月です。主要7カ国首脳会議(G7)のサイバー・エキスパート・グループが「新たなサイバーレジリエンスを検証する手法」として提唱しました(金融庁による仮訳[PDF 322KB])。日本ではその少し前の2018年5月に金融庁が『諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書』を公表し、金融機関に対してTLPTの活用を推奨しています。

攻撃者の情報収集リソースは公開情報

小林:
御社では先ごろ、TLPTを実施されたそうですね。きっかけは何だったのですか。

唐澤:
TLPTを実施した目的は、既存のリスク管理態勢のレベルを抜本的に引き上げることでした。

GMOクリック証券とGMOフィナンシャルホールディングスではこれまでも、定期的なサイバー攻撃対策訓練や演習を実施していました。ただし、訓練を通じて見つけられる課題の解決は、“小さな傷口の手当て”になりがちだったのです。自社でテストを実施すると、「この程度は対策済みだろう」というバイアスがかかり、本来やるべきテストを見送ってしまい、それによって根本的な対策の抜けを見落としてしまいます。自社のセキュリティ対策レベルを客観的に評価し、実際の攻撃に対してどの程度の対応態勢があるかを把握するためには、外部攻撃者の“視点”が必要だと考えました。

小林:
社内のCSRITやSOCメンバーにはTLPTの実施を知らせない、ストレス方式で実施されたそうですね。

唐澤:
はい。「本物同様のサイバー攻撃に対し、どのように防御・検知・対応するかを検証する」のがTLPTの趣旨ですから、CSRITやSOCには知らせませんでした。ちなみに事前に実施を知っていたのは、私とGMOフィナンシャルホールディングスの担当役員、ITインフラの責任者、そして社長の4人だけです。

小林:
実際の攻撃シナリオについて教えてください。どのようなリスクとシナリオを想定したのでしょうか。参考までに、一般的なTLPTの実施フローを示します(図表1)。

唐澤:
特定の独立系犯罪集団が、会社の機密情報盗取を目的に、重要な情報が格納されている特定サーバーに侵入する、という攻撃を想定しました。具体的には、攻撃者がフィッシングメールをトリガーに攻撃を仕掛け、システム(サーバー)内部に侵入するシナリオです。攻撃者とは事前に「特定サーバーにログインできたら攻撃終了」と決め、「会社にとって重要な情報は何か」と「グローバルIPアドレスのレンジ」、そして会社の簡単なネットワーク概要(図)だけ共有していました。

小林:
いざ攻撃を仕掛ける上で、攻撃者はどのようにして御社の情報を収集したのでしょう。

唐澤:
TLPT終了後に攻撃担当者に聞いたところ、情報収集に利用した主なリソースは、公開情報だったそうです。例えば、弊社ウェブサイトの人材募集要項には、利用しているプログラム言語やシステム構成のアウトラインを公開しています。そうした情報やLinkedInにおける従業員のアカウント、さらに従業員が個人的に書いているブログも参考にしたと聞きました。

専用の閲覧ソフトでないと見ることができない、いわゆる「ダークウェブ」にある情報も調査対象だそうです。幸い、ダークウェブで売買されるような弊社の漏えい情報はなかったそうです(笑)。

小林:
何気なく公開している情報も、攻撃者にとっては攻撃のヒントになるのですね。

唐澤:
もう1つ驚いたのは、攻撃者が私のメールアドレスを手がかりに、他の従業員のメールアドレスを簡単に割り出していたことです。攻撃シナリオの最初はフィッシングメールだったのですが、従業員名簿を渡していないにもかかわらず、多くの従業員に対して攻撃メールを送付していました。

攻撃担当者によると、メールアドレスが1つあれば、その企業がどのような法則に基づいてメールアドレスを割り当てているかを簡単に調べられるそうです。最初の攻撃では約3,000通のフィッシングメールを送りつけ、従業員まで到達したのは30通程度でした。ただし、これには誰も引っかかりませんでした。

図表1

PwCあらた有限責任監査法人 シニアマネージャー 小林 由昌

攻撃者が参考にしたのは共有ライブラリの運用手順書

小林:
フィッシングメールには誰一人引っかからなかったとすると、どのようにTLPTを続行したのでしょうか。

唐澤:
わざと感染用の踏み台端末(PC)1台を用意し、攻撃者を招き入れて感染させ、テストを続けました。その結果、最初に端末が感染した段階で、エンドポイントで導入しているセキュリティ製品がマルウェアを検知し、CSIRTのチームが感染端末を隔離しました。そしてすぐに感染が拡大していないかを調査し、遠隔で不正コマンドを操作する実際のコマンド&コントロール(C&C)サーバーのIPアドレスを遮断するという適切な対応をとることができました。

ただし、これでテストが終了するともったいないと思い、もう一度、踏み台端末を用意しました。この時に攻撃者は、当社のセキュリティ機能では検知できない新手のマルウェアを用いた攻撃に切り替えていたようです。結論を言うと、この攻撃で、重要な情報が格納されているサーバーに侵入を許してしまいました。

小林:
お話しいただける範囲でかまいませんので、攻撃者はどのようにして特定サーバーに侵入できたのかを教えてください。

唐澤:
GMOクリック証券ではオフィス内部のネットワーク環境と、外部からのアクセスがあるサービスのネットワーク環境を分離しています。これは他の金融機関でも一般的な構成かと思います。2回目のマルウェアは、前者のオフィス内部のネットワーク環境から侵入してきました。そして、当社のセキュリティ検知機能をかいくぐり、サービスのネットワーク環境との間にあった境界(踏み台)を突破しました。特定サーバーへアクセスするには、(オフィス内のシステムにログインしている)従業員であっても管理者へ承認申請し、ワンタイムアカウントを発行してもらう必要があります。驚いたのは、攻撃者が特定サーバーへアクセスするためにはワンタイムアカウントが必要であることを知っていたことです。実は、内部ネットワークに侵入した攻撃者は、社内ライブラリで共有していた運用手順書にアクセスし、その内容を事前に把握していたのです。

そして、従業員に発行されたワンタイムアカウントをハッキングしました。具体的には、従業員の端末に侵入し、ワンタイムアカウントが発行されるのを待っていたのです。発行のタイミングでそのアカウントを“横取り”し、“正規の手続き”で侵入してきました。ちなみに攻撃者が境界(踏み台)を突破してから特定サーバーに到達するまでにかかった時間は、たったの2時間でした。

小林:
驚くべき手際のよさですね。多くの企業では、運用手順書を社内の共有ライブラリに置いています。情報セキュリティの基本が「情報資産の優先度付け」であることは言わずもがなですが、運用手順書は顧客情報などと比較すると、必ずしも高い優先度で管理されているとは言えません。さらにこれらの文書は改訂を重ねるため、複数のドラフト版があることが多いです。そうした文書もきちんと管理しなければいけないのですね。

侵入されて痛感する“詰めの甘さ”

小林:
TLPTでは通常、本番のシステム環境を使用します。実施にあたっては、社内で障壁といいますか、本番稼働への悪影響を恐れるがあまり反対されるようなことはなかったのでしょうか。

唐澤:
私自身がセキュリティの責任者であり、経営する側としてTLPTが必要と感じていたため、実施しやすい環境にあったと言えます。加えてTLPTの実施を事前に知っていたのは4名だけだったので、それに対する社内の障壁はありませんでした。ただし、CSIRTチームは最初の攻撃を検知し、その対応に当たっています。ですから「ごめん、この攻撃はテストでした」と伝えるタイミングが難しかったです。

小林:
では、今回のTLPTの実施で得られた気づきを教えてください。

唐澤:
1つは先述したとおり、攻撃者側の情報収集の主なリソースが、一般公開情報だったことです。攻撃者は私が関知していない従業員のブログもチェックしていました。企業のネットワークやシステムの構成を外部から把握できるようなツールなども存在しますから、ターゲット企業の情報を攻撃者が本気で集めたら、公開情報だけで攻撃にかなり有益な情報が得られると感じました。

もう1つは、内部のネットワークに侵入された後の対策が十分ではなかったことです。

インターネットに接続している部分における「入口/出口対策」は、目的が明確ですし対策状況も注目されやすいため、これまでも注力してきました。しかし「ネットワーク内部のセキュリティ対策」は、従業員が情報を勝手に持ち出さないようにするなど、内部犯罪の防止に焦点を当てていました。「内部システムでマルウェア感染やその拡大を防止または検知する」という意識が足りなかったという、よい学びになりました。

小林:
最後に、TLPTの実施を検討している企業に向けたアドバイスをお願いします。

唐澤:
TLPTは、経営者のサイバーセキュリティへの意識を向上させる格好の機会になると思います。情報システム部が経営層に対してセキュリティ対策を報告する際には、「○○を防御するソリューションを導入しました」と言いがちです。しかし、TLPT実施の報告は「○○への攻撃シナリオの場合、防御しきれず侵入を許してしまいました。また侵入後の検知もできず(遅延し)、業務への影響やインシデントとして●●が発生しました」といったものです。これは、経営者にとって目の覚める“スパイス”になるのではないでしょうか。

小林:
企業におけるデジタルの活用は進んでいますが、技術革新の恩恵を受けるのは攻撃者も同じで、新技術を悪用した偵察行為や攻撃手法は多様化・巧妙化しています。企業はこれまでも、そうした攻撃に対する態勢を向上させる努力をしてきましたが、もはや自社によるセルフアセスメントや既知の技術だけを用いた防御テストでは、あらゆる攻撃に対処するのは難しくなってきていると言えます。自社の取り組みの効果をきちんと検証するという点で、今回お話を伺ったような実践的なTLPTは極めて重要ですね。本日はありがとうございました。

主要メンバー

小林 由昌

シニアマネージャー, PwCあらた有限責任監査法人

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}