[キーパーソンが語るシステムマネジメント高度化の意義]

【第3回】元ハッカーが指南するセキュリティ対策の基本とは?

2014年5月21日(水)

セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。

いまだ圧倒的に多いのは脆弱性を突くランダム攻撃

 さて、ここで最近のセキュリティインシデントの実情を少し整理しておきましょう。標的型攻撃のように、ある特定の企業を狙うアクションが話題となっていますが、いまだ圧倒的に多いのがランダム攻撃です。全方位的に探りを入れて、侵入し得る抜け道を探し出す。見つからぬように忍び込んだ先に“金目”のものがあれば幸い、それを奪取して、儲けを手にするというものです。

 一般的な手口はこんな感じです。まずは企業システムの中の「脆弱性」を洗い出す。各種サーバーのコンフィグレーションの間違いや、パッチがあたっていないOS/ミドルウェアなどは典型例です。悪意のない社員による操作をうまく利用するなんて手口もあります。

 脆そうな入口が見つかったなら、「エクスプロイトツールキット」と呼ばれるものを使って、そこに穴をあけ、ぐいぐいと拡げていく。十分な侵入口を確保した後はいよいよ最終局面。中を探索して、ここぞという場所にマルウェアを仕込み、いとも簡単にデータを盗んでいくのです。

 攻撃側の巧妙さにスポットが当たるばかり、企業はもはや、手の打ちようがないというような見方がされることがありますが、その認識は改めるべきです。最低限で“やるべきこと”にきちんと手を打っていれば、実はリスクはぐっと低くなることを念頭に置いておくべきです。

 では、最低限やるべきこととは何でしょうか。一言でいえば「アタックサーフェイス」を極小化すること、つまり、システム全体において侵入し得る余地を徹底的につぶしていく地道な取り組みなのです。

 もう少し具体的な話をすると、大きく2つのポイントがあります。1つは脆弱性を常に把握し、危険度の高い所に、設定変更やパッチ当てなどの対策を迅速に打つこと。2つめは、特権アカウントの管理を徹底し、サーバーやソフトに対してできる操作を厳密に制限することです。

 言ってしまえば至極シンプルなものの、これだけで危険度は大きく下がるのです。2013年、企業ITにかかわる分野では何千という脆弱性が見つかっていますが、その中で実際にエクスプロイトツールキットによって侵入されたのは4.7%と、ごく僅かだったという報告があります。日々新たに出てくる脆弱性の数におののかず、その中でも重要度の高いものに手を打てばよいとの認識を持ちましょう。

 仮に侵入を許してしまったとしても、マルウェアがシステム内で悪さをしでかそうとする時には管理者としてのアクセス権限がないと局所的なことしかできません。だからこそ“万能”の特権アカウントの管理を徹底する、基本的には誰にも与えない、与えるとしても期間限定とし作業が終わったらきちんと回収するといった取り組みが重要となるのです。

 これらは、ハッカーとしてならしたこともある私が信じて疑わない基本的なアプローチです。BeyondTrust社としての製品ポートフォリオも、こうした考え方に照らしたもの。主軸をなす製品ファミリーが2つあり、1つが特権アカウントを管理するPowerBrokerシリーズ、もう1つが脆弱性を管理するRetinaシリーズです。この春には、双方をBeyondInsightとして統合し、単一のコンソールから扱えるようにしました。

バックナンバー
キーパーソンが語るシステムマネジメント高度化の意義一覧へ
関連記事

Special

-PR-

【第3回】元ハッカーが指南するセキュリティ対策の基本とは? [ 2/3 ] セキュリティソリューションを提供する米Beyond Trust社のCTO(最高技術責任者)を務めるマーク・メイフレット氏は、元ハッカーとして名を知られる人物。攻撃の手口を知り尽くした彼がユーザー企業に向けるアドバイスは、以外にシンプルだ。まずは脆弱性を洗い出して、パッチ適用などを手抜かりなく施すこと。そして特権アカウントの管理を厳格にすること。この2つを地道に実践するだけで、リスクは大きく低減するという。

PAGE TOP