JNSA「セキュリティしんだん」
« (19)Wassenaar Arrangement - Statement of Opinion | (21)〜佐賀県の少年による不正アクセス事件から考える〜
「青少年を犯罪者にしないための倫理教育の重要性」 » |
(20)Good men go OUT / Bad men come IN
- ヒト・デバイス・ファイルの認証と認可に基づいたセキュリティ -(2016年6月6日)
日本ネットワークセキュリティ協会 副会長
高橋 正和
よく言われることですが、現在のサイバー攻撃を防ぎきることは、難しいのが実情です。サイバー攻撃は、ファイアウォールで許可された通信を悪用し、ウイルス対策ソフトを潜り抜け、イントラネットを自由に動き回り、機密情報を盗み出してしまいます。
対策として、より高度なセキュリティ製品、ブラックリストによる通信のブロック、ログの総合的な分析、厳密なネットワーク分離などが推奨されていますが、マルウエア等のある種の異常系対策ばかりが注目され、基本的なセキュリティ対策である「認証と認可」に基づいた取り組みが欠けているように思います。高度化するサイバー攻撃の対策を進めていくためには、ヒト・デバイス(PC等)・ファイルに対する認証と認可を中心とした、基本的なセキュリティ対策の再検討が不可欠だと考えています。
本稿では、ネットワーク分離とマルウエア対策を中心とした「異常系のセキュリティ対策」の課題と、この課題を乗り越えるためのモデルとして、ヒト・デバイス・ファイルに対する認証と認可を中心とした「正常系のセキュリティ対策」を考察します。
■Good men IN / Bad men OUT:ネットワーク分離によるセキュリティ対策
汎用機の時代には、アカウントを持った人物の侵害、つまり内部犯行が主要な脅威であることから、「認証と認可」に基づいた「正常系のセキュリティ対策」が中心でした。これに対し、PCはシングルユーザーOSとして普及が始まったことから、ウイルス対策等の「異常系のセキュリティ対策」が中心となりました。この傾向は、PCがマルチユーザーOSとなり、LANに接続され、インターネットが当たり前になっても続いています。
この背景には、インターネットと組織内ネットワーク(イントラネット)の間に、ネットワーク境界を置くことで、攻撃者をイントラネットに入れないGood men IN / Bad men OUTという考えが根底にあると考えています。このような考え方の下では、イントラネット内の認証と認可、つまりここでいう「正常系のセキュリティ対策」が重要視されない傾向にあります。
■Good men go OUT/ Bad men come IN: 逆転したコンセプト
現在のITセキュリティは二つの課題を持っています。ひとつは、正規の利用者、つまりGood menが、ネットワーク保護が期待できない、インターネット上でITサービスを使うようになったことです。これに伴い、ヒト・デバイス・ファイルの三つの要素が、物理的にも論理的にもイントラネットに収まらなくなりました。
もう一点は、攻撃者がイントラネットに侵入する手段が確立した点です。攻撃者は、メールやウエブ等の許可された通信を悪用し、イントラネット内のデバイスにRATと呼ばれるツールを送りこみます。そして、インターネットからRATを通じて思い通りにデバイスを操作します。Good men INを前提とした、内部からの攻撃への対策が不十分なIT環境では、このような攻撃を防ぐことはできません。
加えて、攻撃を通じて外部に持ち出されたファイルは、攻撃者が完全なアクセス権を持ち、自由に利用し、流通させることができます。これに対して攻撃を受けた組織は、流出したファイルを捉えることができず、情報の公開や悪用を防ぐ手立てがありません。
この状況を考えると、Good men IN / Bad men OUTを前提とした「異常系のセキュリティ対策」だけでは、Good men go OUT / Bad men come INの状況への、有効なセキュリティ対策とは考えにくいのが実情です。対策の有効性を高めるためには、ヒト・デバイス・ファイルの「認証と認可」を中心とした「正常系のセキュリティ対策」に着目する必要があると考えています。
■ヒトの認証と認可:アカウントの一元的な管理
Good men IN / Bad men OUTという考え方の下では、多くの場合、組織全体での包括的なアカウント管理が実施されず、システム毎に個別に管理されます。このようなアカウント管理方法は、すべてのアカウントを把握することが難しく、アカウント(ヒト)の認証と認可に基づいたセキュリティを構築することは出来ません。
アカウントの認証と認可に基づいたセキュリティを構築するためには、アカウントを包括的に管理することが必要で、このためには、シングルサインオンが不可欠です。シングルサインオンは、アカウント名とパスワードが漏れると、すべてのシステムにアクセスができる事が問題視されますが、Good men go OUT / Bad men come INという状況では、アカウントを管理できない方が、はるかに高いリスクを抱えることになります。
■Extended-Intranet:社外に移動したイントラネット
クラウドをはじめとしたITサービスの普及により、メールシステム、ファイルサーバ、業務システムなどの主要なITサービスを、外部サービスに移行するケースが増えています。また、購買や出張手配といった庶務業務も、事業者が運営する外部サービスの利用が一般的になりました。
外部サービス上の業務システムを利用する場合、セキュリティと利便性の両面から、組織内のアカウント管理と統一することが望まれます。一方で、不特定多数からの攻撃を想定する必要があるため、多要素認証などの追加的な認証保護策も求められます。
庶務業務等、独立した外部サービスを利用する場合も、アカウント管理とトレーサビリティ(追跡性)の観点から、認証連携を使って、組織内のアカウント管理と連携することが望まれます。認証連携は、各種クラウドサービスで提供されているため、これらのサービスを利用して実装することができます。
■デバイスの認証と認可:すべてのデバイスのセキュリティを担保する
標的型攻撃は、直接的にデバイスへの侵入を試みるため、ネットワークだけではなく、全てのデバイスのセキュリティを担保する必要があります。イントラネット外で利用するデバイスについても同様です。全てのデバイスのセキュリティを担保するためには、デバイスを識別し管理することが必要です。
各デバイスの設定は、利用するアカウントを最小権限とし、USGCB(※1)で定義されるような安全性の高い設定を適用します。そして、確実に更新プログラムを適用し、マルウエア対策ソフトを最新に保ち、紛失・盗難の際には、ファイルの削除などの対策を実施できるようにします。
※1)The United States Government Configuration Baseline (USGCB)
https://usgcb.nist.gov/
先に述べた広義のイントラネットへの接続では、デバイスを識別し、識別が出来ないデバイスや、設定が不適切なデバイスを排除します。識別されたデバイスを二つ目の認証要素とすることで、万一アカウント情報(ユーザーIDやパスワード等)が漏れた場合でも、これを使った攻撃を防ぐことが出来るようになります。
■ファイルの認証・認可:ファイルそのものを保護する
ファイルが組織外に流出した際と問題になるのは、流出したファイルを把握し、アクセスを制御する手段がない点です。流出したファイルの保護に、パスワードを鍵とした共通鍵暗号による保護が行われますが、パスワードの複雑さを担保することが難しく、また、認証の失敗に対する制限がないことから、解析ツールを使うことで、容易にパスワードを解析できてしまいます。一度パスワードが解析されたファイルは、パスワードを無効にしたり、パスワードを含めて流通させることで、ファイル保護を無効にできるため、パスワードによるファイル保護は有効な手法とはいえません。
ファイル保護の方法として、ファイルに利用可能なアカウント情報、実施可能な操作(表示、印刷、ハードコピー、編集など)、利用できる期限などの情報を埋め込み、電子証明書を使って暗号で保護する手法があります。この手法では、ファイルを開く際に認証サーバーでアカウントの認証が求められ、認証が成功した場合だけ復号用の電子証明書が付与されます。認証の成功・失敗にかかわらず、認証を行ったIPアドレスが記録されるため、ファイルを追跡することが可能です。加えて、復号情報の付与を停止することで、ファイルがイントラネット外にあっても、ファイルの内容(情報)を担保することができます。
■むすび:経営の一部(業務執行)としてセキュリティを考える
本稿で言うところの「異常系のセキュリティ対策」は、IT部門・セキュリティ部門などの担当部門が、組織内の利用者に対して強い権限を持てない場合でも、実施できるセキュリティ対策です。一方で、ヒト・デバイス・ファイルの識別と認可に基づいた「正常系のセキュリティ対策」は、デバイスの利用や権限管理と深くかかわっており、担当部門が利用者に対する明確な権限を持たないと実施できません。つまり、経営の一部として、担当部門に適切な権限が付与されないと「正常系のセキュリティ対策」を構築することは出来ないことを意味します。そして、「正常系のセキュリティ対策」を確立することができれば、標的型攻撃ばかりでなく、内部犯行に対する対策として有効性の高い対策となります。
経済産業省から「サイバーセキュリティ経営ガイドライン」(※2)が公表されるなど、セキュリティを経営に組み込む重要性が改めて指摘されています。経営には様々な側面がありますが、担当部門にITとセキュリティに対する適切な権限を与え、ヒト・デバイス・ファイルという、経営上の資源の認証と認可に基づいた「正常系のセキュリティ対策」を構築することが、その第一歩だと考えています。
※2)サイバーセキュリティ経営ガイドラインを策定しました
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
■おわりに
この原稿を書くにあたって、UNIXセキュリティの歴史を確認するため、十数年ぶりに「UNIX & インターネットセキュリティ」(山口英先生監訳)を再読しました。「はじめに」の中で書かれている、“1991年に「UNIXセキュリティ」(第1版)が出版された時、「UNIXセキュリティ」とは矛盾した言い方であり、「巨大な小海老」や「議会の行政行為」などと同じく相反する組み合わせだと考えられていたのです。”という部分がとても印象に残りました。UNIXやWindowsといったプラットフォームにかかわらず、セキュリティ対策の本質かもしれません。
この書籍を再読しながら、改めて山口先生の膨大な業績を想いました。JNSA設立15周年記念イベントでは、JNSAの15年の歩みをまとめましたが、その中にもJNSA顧問を務めていただいた山口先生のお名前が数多く出てきます。官学だけではなく、民間のセキュリティ企業やセキュリティ活動に対しても力を注いで頂いていたことを、改めて知る機会となりました。
山口先生の薫陶を胸に刻んで、微力ながらも日本のセキュリティの向上に努めていきたいと思います。
« (19)Wassenaar Arrangement - Statement of Opinion | (21)〜佐賀県の少年による不正アクセス事件から考える〜 「青少年を犯罪者にしないための倫理教育の重要性」 » |