何を守るべきかを把握すべき
マカフィーの松田彰氏(エンタープライズ営業本部 エンタープライズSE シニアセールスエンジニア)は「不正侵入の脅威と対策」として具体的な侵入手法と対策を説明した。松田氏は、対策において“何を守るべきか”を把握することが重要であるとした。
企業のサーバには会社の情報や社員の情報、顧客情報などが格納されているが、これらに優先順位をつけて保護対策を行う必要がある。もちろん顧客情報を扱う企業が一番に守るものは個人情報やクレジットカード情報だ。ただし、企業の信用失墜を狙う攻撃もあるため、攻撃者が欲しがる情報を常に検討する必要がある。
不正侵入には、いくつかのステップが存在すると松田氏は言う。特定の企業を攻撃する際、攻撃者は無差別に攻撃せず攻撃対象の情報収集を行う。これは攻撃に時間がかかると発覚する可能性が高くなるためで、調査に時間をかけて最適な攻撃方法を検討する。
事前調査には攻撃対象サーバのIPアドレスの取得やポートスキャン、バナーチェックなどがある。攻撃対象のサーバを絞り込んだら、OSやアプリケーションの脆弱性を調査する。既知の脆弱性は公開されているし、実際に攻撃に使用するプログラムも容易に入手できる。
松田彰氏
侵入に成功すると機密情報を盗まれたり、別の攻撃の踏み台にされる、ウェブサイトの改ざん、バックドアの設置など自由な行動を許してしまう。また攻撃者はログの改ざんや消去を行い、侵入の痕跡を消していく。ソニーの事件では、アラートが上がらなかったという。
その原因として松田氏は「装置が貧弱だった」「ポリシーが甘かった」「監視体制に不備があった」「対策がされていなかった」――という4点が想定できるとした。特にゲームユーザーは手間のかかることをいやがる傾向があるため、PSNではポリシーを甘くしていたのではないかとも指摘している。
脆弱性を回避することも重要な対策であり、根本的な対策は「安全なバージョンへのバージョンアップ」であるとし、脆弱性の公開から対策完了までの期間が課題であるとした。だがバージョンアップには検証が必須で数日かかってしまう。そこでの暫定的な対策として以下の3つを挙げている。
- 脆弱性のあるサービスの停止=侵入を確実に防げるが業務が停滞する可能性がある
- OSやアプリケーションの設定変更=運用への影響は少ないが攻撃を受けてしまう可能性がある
- ツールによって攻撃を無効にする=特定の攻撃を未然に防げるがパフォーマンスの低下など他のサービスに影響を及ぼす可能性がある
ソニーも既知の脆弱性を攻撃されたとしており、こういった対策が不十分であったと考えられる。
被害に遭った際にはログが重要となる。だが、保存しているログが完全なものであり攻撃者の追跡が可能かどうかは確認しておく必要があると松田氏は指摘する。法廷での証拠能力を持たせるために法律専門家の助言のもとでフォレンジック装置を設置することが重要であることも松田氏は強調している。
事件に対して的確な対応を行うためのインシデントレスポンス体制を作っておくことも重要だと松田氏は主張する。セキュリティ対策の設定と運用監視といった通常の運用に、不正侵入調査を加えフィードバックすること、また事故が発生したときのインシデントレスポンス、データの完全性の保証を自動化するデジタルフォレンジックを行い、設定に反映していくといったサイクルを持つ体制が必要である、と松田氏は強調している。
