「何を守りたいのか」考えるところから始まるサイバーセキュリティ

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第15回をお送りします。

川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。

2020年7月31日（金）に、イエラエセキュリティ主催にて組織におけるセキュリティ対策セミナー「川口洋座談会ウェビナー第1回」を開催しました。本ウェビナーは、CIO、CISOとして活動されている方またはCSIRTに興味がある方を対象に参加者を募集し、当日は約100名の視聴者にご参加頂きました。

 

顧問、川口洋がモデレーターとなり、スピーカーとして登場したのはイエラエセキュリティより高度解析部 ペネトレーションテスト課 課長のルスラン・サイフィエフ、事業推進部 事業推進課 課長の鈴木 正泰。そしてゲストとしてグローバルセキュリティエキスパート株式会社 CSO兼CSROの萩原 健太様にお集まりいただきました。ペネトレーションテストの実際やCSIRTとの連携、ペネトレーションテスト実施後の社内体制の見直し方など、ウェビナー座談会で語り合った内容を2回に渡ってご紹介していきます。（前編はこちら）

本記事の収録動画を公開中

イエラエセキュリティ川口洋座談会 ウェビナー 第1回

海外オフィスと、買収した会社と…「ネットワークフラット」の難しさ

川口洋（以下、川口）：先ほど「フラットなネットワーク構成ネットワークフラット」の話題が出ましたが、本当に難しい問題ですよね。しかも海外も含めて…となると本当に頭が痛いです。最近大きな事件で世間を騒がせているものって、結構海外のネットワークがやられて、そこから日本のシステムに入ってきて、日本の本丸がやられて大きな偉い騒ぎになるというものもあると思います。ルスランさん、ペネトレーションテストやる時に海外のネットワークに入ることもあるんですか？

サイフィエフ・ルスラン（以下、ルスラン）：そういうこともありますね。あとは日本の会社が買収した海外のオフィスとか。

川口：M＆Aで買収した会社のセキュリティチェックとかって難しいですね。

ルスラン：アメリカとかですと、基本的に買収する前にペンテストをやってるところが多いですね。本社とフラットとはいかないまでも、ネットワークを何かしら経由して繋ぐことでリスクが発生する場合があるわけなので。

川口：そうなんですか…！　それは凄いですね。僕は日本でそういう事例を聞いたことがないです。

萩原健太（以下、萩原）：私も聞いたことないですね。やってないんじゃないですか…？

川口：セキュリティの議論なんて、M＆Aの要件に入っていないですよね。でも本当はやって欲しいところですよね。

萩原：共通の基盤があってそこに乗っかるとか、ある程度デザインが出来ていればいいですけど、日本の会社ってそこまで出来ているわけじゃないと思うんですよね。買収した会社のシステムごとに何もかも違うでしょうし。昔から銀行のシステム統合する為に何十年もかかっているわけですから。

川口：それで1冊本が出てしまうくらいの苦労があるわけですからね…。

萩原：あとは今の日本の会社だと、CISOとかCSOとかが取締役や本当の経営層に入っていないことが多いんですね。そこにもし入っていれば、買収って話になった時に「じゃあセキュリティも」って話になるんでしょうが、だいたいが執行役員くらいまで。そこが根本的な問題かもしれませんね。

鈴木正泰（以下、鈴木）：役員からしたら「買収したんだから早くシナジーを出せ」と言われそうですよね。システム統合が難しいなら、お互いまずは行き来し易くしてみましょうか、という話になりそうです。

萩原：皆さんアクセルを踏みたがるんですよね。でもアクセルを踏みたかったら、優秀なブレーキが必要なんですよ。アクセルだけの車に乗りたく無いじゃないですか。そこが、なかなか経営者は分かっていないことが多いんだと思います。

SOCとCSIRTのコミュニケーションが改善の鍵

川口：今日話したかったテーマのひとつに、「CSIRTとSOCの連携の難しさ」というのがあるんです。「パープルチーム」って言うんでしたっけ。その名前、あんまり浸透してないと思うんですよ。それについて、まずは鈴木さんに説明をお願いしたいんですが。

鈴木：はい。元々「レッドチーム」「ブルーチーム」って言葉があると思うんですが、これは軍事用語なんです。攻撃する側を「レッドチーム」、守る側を「ブルーチーム」と言って、基本的には何も通告なく攻撃をかけて、それを防御側がどれだけ防御したか、察知できたかというのを机上ではなく実業含めて評価しています。

「パープル」はレッドとブルーの色の掛け合わせになっているんですが、演習し終わった後に、レッドチームとブルーチームのそれぞれの視点を踏まえて、改善活動を行う形で対応をさせて頂いています。

川口：パープルチームの役割やレッドチームとブルーチームの連携をどうしていくかというのは大事だと思いますが、まだまだ聞かれたりしたことはないですね。ログのトレーサビリティの話が出ていましたが（前編参照）、ルスランさんが散々動き回ったのに何も記録残っていなかった、となったら…ゾッとしますよね。でも「そこはSOCさんがやってくれてるんではないんですか」と…

萩原：そうですね、だいたいセキュリティイベントやインシデント対応はアウトソーシングで丸投げしているから、そこは「業者が気付け」となってしまいますよね。

ルスラン：自分の会社にCSIRTやSOCのチームがいて、自社の設計をわかった上で「ここの部分だけが大事、と分かっているけど、衛る実力がないのでアウトソーシングしています」ということであれば良いと思うんです。でも自分たちでも設計をよく分かっていないのに「取り敢えず頼んだらどうにかしてくれるでしょ」と丸投げしてしまう場合があって、そうするとどうしても問題が起こってきてしまいますね。

萩原：アウトソーシングする時の目的が問題なんですよ。日本の場合、コスト削減でアウトソースするので、衛る為にアウトソースするのでは無いんですよね。

鈴木：連携という意味だと、SOCの言っていることをCSIRTが読み解けないという事例は結構あります。特に大企業だとローテーション人事でサイバー攻撃や技術詳しくない人がCSIRTに居たりするので、SOCのアラートが本当に“ヤバい”のかどうかわからない。「とりあえず情シスに聞いてみよう」みたいな形で部署たらい回しになって時間がかかっちゃったりということはありますね。

意外な自社情報がインターネットで「公開」されている現実

鈴木：ルスランさんが攻撃かける時って、いわゆる「公開情報」を使ってアタックをかけるんですが、意外とインターネット上に公開されている情報の中に、企業の内部情報があったりとかするんですね。「この情報が公開されてるって、社内の人たち知らないんじゃないかな」って情報が結構出てたりするんですよ。社内環境のアラートを見るだけじゃなくて、外側に自分たちの情報がどれだけ公開されているのか、一回見た方がいいような気がしますね。

川口：そういうのありますね。ある大手のIT会社の社員さんが、すごく勉強熱心で、毎日勉強したことをブログに熱心に書いているのを見つけたんですが、明らかに社内のURLだったり社内用語まで記載されていたことがあって…。どう見ても理解できないキーワードとか、一般用語じゃない3文字とか、「もしかしてあの会社の関係？」という情報が、全体の1〜2％くらいでしたけど、チョロチョロ入っていたんですね。そういうのをルスランさんは調べているわけですね。

ルスラン：基本的にGitHubを調べますね。開発者が個人のアカウントと会社のアカウントを使っていて、何故かプライベートではなくパブリックの方にプッシュしてしまうことがあるんですね。GitHubって基本的に全て履歴がコミットとして残ってしまうじゃないですか。削除してあっても、前のコミットを見たらキーが残っていたりするので、それを使うと本番環境に入れたり、ということは今までに何回かありました。

あとは最近の会社はクラウドサービスを使いますよね。そのクラウドサービスそのものに脆弱性がある場合というのは、やはり有りますよね。最近バグバウンティが流行っていますけれども、参加者が脆弱性を見つけてどこかに記事としてアップしてしまう。そうすると、悪意のある攻撃者は同じ脆弱性を使って他の会社にクラウド経由で侵入して、中の情報を見ることができてしまうんですね。

川口：クラウドサービス側がやられると本当にシャレにならないですが、どうしても、ありますよね。

ルスラン：クラウドサービス側の責任というのは勿論あるんですけれども、ベストプラクティスの設定になっているかどうかは利用している会社の責任になってきますね。

1点突破されれば、芋づる式に突破されて「全てが終わってしまう」

川口：2要素認証くらいは身につけて欲しいですよね。でも、社用携帯電話を社員に与えていない場合、2要素目をどこで持つか、という議論があって。個人のスマートフォンは皆持っているでしょうけど、社用の連絡なのに私物に連絡が来るようにするべきなのか？　「社用デバイス与えなさいよ」で済まないところに限って、問題になるんですよね。

萩原：テレワークできる、できないが割り切りだったように、もう、BYOD（Bring Your Own Device）も「入れさせてくれ」と割り切りって振るしかないんだと思うんですよね。

ルスラン：そうですね。2要素認証が無いということは最近のクラウドサービスではありませんからね。攻撃者がある1人の認証情報を見つけてMicrosoft 365(旧名称 Office 365)にログインできてOffice365にauth認証で入れてしまうと何が出来るか、というと、全員のメールアドレスを見ることができるし、その権限で見ることのできるものは全て見られるし、メールを送ることが出来ます。つまり内部受信が出来るようになるんですね。内部受信であれば信頼度が高くなり、攻撃メールを開いてくれる人が増えて、更なる攻撃に繋がってしまいます。

川口：Microsoft 365Office365のアカウントを取られて、Teamsとかで「ちょっとこれ教えて〜」ってペロッとメッセージ送ってこられたら、本当に分からないですよね。顔も見えないし。ファイルストレージのOne Driveも連携しているからやっかいですよね。

ルスラン：そうですね。G Suiteを使っていても認証が通ればMicrosoft 365Office365に入れれば、Google DriveなどG Suiteに入れる。そこからSlackや他のクラウドサービスに入れるということはあるので、最終的にAWSの本番環境まで入れるということもあって、それで終わってしまう。

全員：……。

川口：2要素認証はホント、皆さんにやって欲しいですけど、やられる所に限ってやってないんですよね。レガシー認証の問題(※)もありますね。割と早い段階からMicrosoft 365Office365を使っている人たちはレガシー認証に依存してアプリでメール見ていたりします。レガシー認証を消していけるかというのはポイントの一つですね。

システムアカウントのパスワードリテラシー、見直してみませんか

萩原：どうしても2段階認証／2要素認証が使えない、というところも場合によってはあると思うんですよ。パスワードだけしか使えないと。で、あれば、もうちょっとパスワードについては考えてくれと言いたいんですが、そういう会社に限ってパスワードも簡単なものだったり、文字列の組み合わせがなかったりしているんですよね……パスフレーズをきちんと考えるだけでも全然違うと思うんですね。

ルスラン：パスワードは考えるべきものじゃないと思ってます。一番いいのは、パスワードマネージャーを使う。もちろんマスターパスワードを考えないといけないということはあるんですけど。パスワードマネージャーが自動生成したものを使えば全く推測できないものが作れますから。

川口：管理しやすいパスワードマネージャーの話って、あまり聞かないですね。エンジニア個人が知っているサービスを使うというのはよくありますが、組織としてパスワードマネージャーを用意しているというような話はあまり聞かない。SIerさんにパスワード管理システムとセットで運用提案を頑張って欲しいですよね。

萩原：私も聞いたことがないですね、パスワード管理ツールを含めて考えているところは。

川口：今日見て頂いている方から「最近のセキュリティの脅威は何かありますか」「注意が払われていないのは何ですか」という質問がありまして、何だろうと考えると、パスワードって注意払われてないよなぁ…と思うんですね。全員がパスワードに注意を払っていたら良いんでしょうけど、1点出来ていなかったらそこがきっかけでやられてしまう。パスワードの問題って、古くからあって今も続く問題ですよね。

ルスラン：パスワードの問題は2つあるんです。1つはユーザーアカウント。2つ目はシステムアカウントです。どっちかっていうとシステムアカウントの方が弱かったりするんです。ユーザーアカウントはポリシーが付いていて、3ヶ月に一度更新しなければならないとか、10桁にする等あるので、そこは推測しにくくなっているかもしれませんけど、システムアカウントは20年前に設定されたものをそのまま使ったりしているんですね。その場合、ユーザー名とパスワードが一緒だったり、パスワードが無かったりということもあります。

川口：以前、三井物産セキュアディレクション（MBSD）の小河さんがゲストに来てくださった対談でも同じような話が出ましたね（「業界トップのペネトレーションテスター2人が語る、衝撃の“脆弱性”大公開」https://ierae.co.jp/blog/kawaguchi-zadankai-3/）。昔作ったシステム要件のパスワードポリシーが、10年、20年と残ってしまっているところは難しいですよね。

ルスラン：あとよく見てきたのは、いろんなシステムのマニュアルに認証情報と会社名が書いてあるパターン。こうなるともうどうしようもないので、全部のシステムを見直してパスワードを設定し直すか、システムをセグメント化して入り辛くしてしまうしかないですね。

萩原：ドキュメントにパスワードが入ってるって、普通に見掛けますよね。マニュアルこれでパスワードこれだからねーと渡されたりして。

川口：納品物に入っているというパターンもありますよね。納品された後パスワード変えないことも多いでしょうしね。そういうパスワードリテラシーを知っているかどうかということもありますが、どう実装していくかというのが難しいですね。

“実際に攻撃を受けてみる”実践的な演習がCSIRT育成に有効

川口：質問がありましたので紹介します。「CSIRTメンバーの育成はどうしたらいいのか」ということなんですが、イエラエは育成どうしてますか？

鈴木：イエラエのCSIRTは立ち上がったばかりなんですが、マネジメントのルールをどうすべきとかとか、業務を阻害せずにどうインシデントを検知するのかということを、これから話し合っていこうかなと思ってます。

一般的なCSIRTメンバーですと、攻撃される経験をしたことがない方が結構いらっしゃるんです。ですから実際に実機で攻撃を受けてみる学習は結構いいんじゃないかなと思いますね。川口さんがやっているようなHardening Projectとか。

川口：「Hardening Project 」楽しいイベントなんで、是非調べてみて頂きたいですね。今日着ているシャツもHardening Projectの特別なかりゆしなんです。CSIRTメンバーの育成・教育というと、NCAでいろいろやっていると思いますが、どんなことをやっているんですか？

萩原：「TRANSITS Workshop」（参考：「TRANSITS Workshop NCA Japan 2019年秋開催応募要項」）は、CSIRT運営、システム運用の初歩の初歩を学ぶような、ワークショップ形式のプログラムです。このコロナ禍で今は出来ていないんですけど、2泊3日の合宿で、朝から晩までCSIRTを考えるという。私は法律のパートを担当しています。

鈴木：私、以前「TRANSITS」に参加させて頂いたことがあるんですが、面白かったのは萩原さんのコースで、謝罪会見の仕方を教えてもらったことですね（笑）。

萩原：インシデントを体験してもらった後に、実際にカメラマンや記者役となった人の前で「今どんな気持ちですか」と質問されたりします。あとは、どうお詫びするのか。頭を下げるタイミングと下げるタイミングをいつにするのか。

川口：それは面白いですね。でもそういうのはオンラインでやり難いですよね。

萩原：あとは、“育成”と言っても、どの人材を育成したいのか、ということが大事で、SOCなのかペンテスターなのか、リーガルアドバイザーなのか、全然育て方が違ってきてしまうんですね。ですからどのロールが必要なのか理解した上で人材育成を考えるということをお伝えしています。

「とりあえず技術を付ければいい」ってことではないわけですね。コミュニケーション能力の方が大事であれば、そういう能力を持っている人を連れてきて技術を教えた方がいいわけです。そういうこともあり、ロールを理解することは非常に大事ですね。

SOCは他部門・他部署とのコミュニケーションが活躍の要

鈴木：今、技術者と経営層の中間の人材というのが求められていますよね。「これだけ今の状況はヤバいんです」というのを、いかに経営層に噛み砕いて伝えることができるのか。これが出来るCSIRTさんが意外と少なかったりするので。

萩原：現場は経営インパクトっていうのは分からないですし、経営層は技術が分からない。ですからおっしゃる通り中間の人物が必要ですね。本当はCSIRTのPoCがやらなければならないですが、そこまで出来ていないのが現状です。

人材育成の前に、私はまず「発掘」だと思うんです。コミュニケーション能力のことを、私はひとつの「スキル」だと思っているので、それがある人を連れてきて技術を学ばせる。技術は勉強すればある程度磨けるものですから。いろんな部署の人やお客さんとの中間に立ってコミュニケーションが取れる人は、PoCとしては活躍しやすい。もちろんそのサポートに技術者は間違いなく必要ですが。

川口：メンバーを発掘してきて組織を作ることが重要ですね。育成についてはいろんな情報や教育サービスがありますが、発掘のプロセスについてはあまり語られない気がします。発掘はアウトソースするようなことではないですし難しいところですね。PoCは社内を動かすことが出来る人じゃないといけないと。

萩原：そういう意味ではCSIRTも「2代目問題」というのがありまして…。1代目はグワッとCSIRT立ち上げてやってきた人達なんですが、2代目がいなくてCSIRTが衰退するというのはありますね。

川口：セキュリティ業界も後継ぎ問題が語れるようになるなんて、一歩前進しましたね！　「無いから作ろう！」だったのが、一巡して後継ぎを語るフェーズになってきたのは少し嬉しいですね。

大規模なシステム入れ替え時に、診断を取り入れた設計を

川口：日本年金機構がやられた2014〜2016年あたりは、年金機構以外もいろんなシステムが散々やられましたよね。あれを教訓にしていろんなシステムが2016〜2017年くらいに入れ替わっているんですが、その入れ替え時期が今年来年くらいなんですよね。自治体セキュリティクラウドもそろそろ入れ替えるタイミングですよね。

事故って大騒ぎになっている時期に作ったシステムの後、システムをどう更新するのかというのが問題で。あの時ほど予算が出ない可能性があるわけなんです。更に、今の社会情勢、テレワークという前提もありますよね。サッと変えなきゃいけないのに、設計をどうするのか。今までセキュリティ頑張って、オンプレも含めて認証機能やプロキシ、EDR、IDS等作っていた多くのサービスは、社内にあります。でもシステムの大転換がこの半年で起こってしまった。

そうなってくる時に、どう設計して作るかを考えないと、またルスランさんが「お邪魔します」って来ることになってしまう。「これ前にも指摘しましたよね」ってことがあると残念じゃないですか。

ルスラン：意外とありますね。9割以上…悲しくなりますね。

萩原：国のシステムなんて、さっきのM＆Aの話じゃないですけど、事前にそういった侵入テストを受けて、どれだけリスクがあるのか理解した上で作って欲しいですよね。

ルスラン：設計のところから診断（レビュー）を入れてやっていければいいのですが。もちろん、実装がどうなっているのかテストする必要はありますけど。あとは古いシステムと新しいシステムを連携させる場合に、古いシステムが脆弱すぎて、新しいシステムも乗っ取られるということもあります。

自社システムの深い理解の上で考える「何を守りたいのか」

川口：萩原さん指名で、視聴者さんから質問が来ています。「GSXで行っている海外のセキュリティ教育はどうなってますか？」。

萩原：海外でもセキュリティ教育というのをやろうということで、グローバルにセキュリティ教育をやる体制にはなっています。一番多いのはASEANです。国によっては「メール訓練やりたい」ということもありますので。年間200件近くやっています。去年の訓練対象は100万人超えてます。開封率は9％です。やはり開きますね。

川口：結構開いちゃいますよね。ところでこの質問者さん、「最近は脆弱性診断業務は行っていないんでしょうか？」とも聞いてきていますが…GSXではもちろん、請け負っていますよね？

萩原：はい、WEBもプラットフォームもIoTもやっていますので、お受けすることは可能です（笑）。

川口：ちょっと教育に比べてインパクトが弱かったということでしょうかね（笑）。

萩原：結局教育だなとは思うんですよ。診断もある程度内製化するとなると、教育をするということになりますから。

川口：最近JPCERT/CCが「ログ分析トレーニング」っていうのを出したんですよね。まだ僕もやってみていないんですが、無料で公開されていますので、是非皆さんやってみてください。

川口：それでは皆さん、最後に一言お願いいたします。

鈴木：だいたいの場合、ルスランさんが攻撃したら、突破されちゃいます。ですからもう、その前提で、防御だけを考えるんではなく、ログのトレーサビリティであったりとか、検知とかその先、守りたいものに対して、何を感知すべきなのかというのを見直した方がいいと思います。

最近イエラエで、SOCに対する抜き打ち検査をサービスで出来ないかなと考えていますので、興味ある方はお問い合わせください。

ルスラン：自分のシステムをもっと深く理解して欲しいですね。運用側には、もっとパスワード管理をしっかりして欲しいですね。1回でもどこかペンテストを受けてみて、それで自分たちのシステムがどうなっているのか把握して貰えればと思います。

萩原：テクノロジーとかセキュリティ製品とかに目が行きがちですが、何を守りたいのか、何を守らなければらならないのかというところを考えることから、デジタル化を含めて色んなことが始まるんじゃないかと思います。そもそもそれが出来なければ最近話題の「ゼロトラスト」なんてとてもじゃないですが出来ませんので、まずは何を守りたいのかということをきちんと整理するところから始めて頂ければと思います。

川口：今日は、90分では語り尽くせない濃い内容になりました。皆さんありがとうございました。

 

本記事の収録動画を公開中

イエラエセキュリティ川口洋座談会 ウェビナー 第1回