新米CSIRTへの至言:後編--セキュリティ情報の共有をめぐる現実と理想 - (page 3)

高橋睦美

2017-09-07 06:00

分かった攻撃手法も公開すべき?

 そもそも日本では、「悪用されるリスクがあるから」「他はみな公開していないから」といった理由からか、サイバー攻撃の手法や使われたマルウェアのハッシュ値、URLなど、詳細な情報は非公開となるケースが多い。

EGセキュアソリューションズの徳丸浩氏''
EGセキュアソリューションズの徳丸浩氏

 徳丸氏は、「海外のブログなどでは、PoCなどが積極的に掲載されている。そういうところから変えていかないと、日本は追い付かないのではないか。欧米並みにしたいなら、もっとオープンで荒々しい世界にならないと、情報を提供する側も出しづらい。そういう意味も含めてセキュリティの『成熟』が進まなければ、日本での研究も進まず、海外頼りのままではないか」と述べた。

 また辻氏が、社内の若手エンジニアに「調べたことを発表してみて」というと、「いや、自分の話なんてとてもとてもと反応する人が多いという。「けれど、自分の持っているものの価値を決めるのは自分じゃない。情報を出し合っている人は味方同士。自分が持っている情報に価値がないと思い込まず、一ミリでもいい、一個でも良いので出して、寄与する方向に持っていかないと、全体で守ることはできない」(辻氏)

 加えて根岸氏は、「情報を出した側にフィードバックがあると、さらに出しやすくなるかもしれない」とした。

 徳丸氏は、Apache Struts2の脆弱性を悪用され、情報漏えいにつながってしまったGMOペイメントゲートウェイ(GMO-PG)のケースを例に、万一侵入されたとしても攻撃を遅らせることや、攻撃者の狙いを達成させないための手法にも注目すべきではないかと述べた。

 「このケースの対応はすごく早かったと思う。だが、それでもやられてしまった。それなら、どうすればよかったか。もう少しウェブアプリケーションファイアウォールがうまく設定されていたり、バックドアを引っ掛けるためにファイルのパーミッション設定を厳しくしておいたり、データ領域についても改ざんを検知したり、あるいはSELinuxを外さなかったり、外部向けの通信を制御するといったことをしていれば、少なくとも攻撃を遅らせることができただろう」(徳丸氏)。

 攻撃への対応は時間との勝負であり、「遅らせる」ことは非常に重要だという。「情報をすばやくキャッチし、備える、という合わせ技で、侵入を前提とした被害緩和策を今こそまじめに考えるべき」と、徳丸氏は提起した。

 この件に限らず、最近は自社で発生したセキュリティインシデントについて詳細な報告書を公開する企業が増えている。「踏み込んだ内容の報告書が出るようになったのは、いいこと。そこから教訓が得られ、とても参考になる」(根岸氏)。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]