「セキュリティは文化である」ことの重要性
2023年6月13日(火)、14日(水)に、Amazon Web Services, Inc.主催の「AWS re:Inforce 2023」が米国カリフォルニア州アナハイムで開催されました。クラウドセキュリティやコンプライアンスに特化したグローバルカンファレンスです。私はCSIRT(Computer Security Incident Response Team)業務のチームメンバーを代表して参加しました。
カンファレンスには、Keynoteでの新サービスの発表や、AWSを活用した事例紹介など様々なセッションがありました。その中で私が最も興味深かったのは、AWS社CISO(最高情報セキュリティ責任者)のCJ Moses氏や、AWS社Global Security Vice PresidentのHart Rossman氏による特別講演(※)です。その講演は、AWS社のセキュリティに対する取り組みを中心とした内容でした。
今回のコラムでは、その講演の中の「セキュリティは文化である」というキーワードについてCSIRTの視点で考察します。ここでは、このキーワードは、社員一人ひとりが当たり前のようにセキュリティを意識して業務に取り組む企業風土のことを指します。
※AWSジャパン社主催のガイドツアー参加者向けの特別講演。
Keynoteなど一般のセッションはAWS社の公式YouTubeチャンネルで閲覧可能です。
AWS社のセキュリティ文化
特別講演では、企業全体としてのセキュリティを強化するためには、セキュリティ製品を導入するだけでなく、セキュリティ文化の醸成が重要である旨のお話しがありました。AWS社におけるセキュリティ文化の一例として以下が紹介されていました。
- 週に一度、経営トップとセキュリティに関するインタラクティブなミーティングを実施している。
- 各部門長が自部門のセキュリティに対して責任を負っている。
- ガーディアンズプログラム(※)という社内制度がある。
※セキュリティのスペシャリストとして育成したエンジニア(ガーディアン)を各チームに最低一人配属し、セキュリティ観点でのレビューを実施するなど。
その結果、トップダウンによる一方的なアプローチだけでなく、各部門において自発的に、セキュリティを担保するための予算の確保や、開発の各フェーズでセキュリティリスクを低減するような行動がとれるようになったとのことです。
もちろんこれらの施策は一朝一夕に実現できるものではなく、長い年月をかけた啓蒙活動が必要だったというお話しもありました。
セキュリティ製品の導入だけでは十分ではない
CSIRTの視点で考えると、セキュリティ製品を導入するだけでは十分ではない理由が3つあります。
- 正しい運用が不可欠である
- 外的要因のセキュリティリスクから100%の防御はできない
- 内的要因によるセキュリティリスクも存在する
1.正しい運用が不可欠である
セキュリティ製品の中には、既知のマルウェア(悪意のあるソフトウェア)を検出するパターンマッチング手法だけではなく、振る舞い検知と言われる手法を採用しているものがあります。それらの製品は、ファイルの内容や動作を分析し、既知のマルウェアの動作と似ていると判断した場合には自動でファイルを隔離するなどの処置を実施できます。未知のマルウェアや攻撃に対しても防御できる可能性があるため、パターンマッチングのみのセキュリティ製品より高性能であると言えます。その反面、業務で利用するファイルや業務上の操作を過検知してしまうことがあります。
例えば、開発プロジェクトで作成したツールの動作テストをしたいのに、セキュリティ製品による過検知で自動隔離されてしまう、ということも起こりえます。そのような状況を放置してしまうとプロジェクトの進捗に影響が出てしまいますし、作業者が独自にセキュリティ製品をオフにしてしまうことも考えられます。そうなると、その端末は外部からの脅威に対して無防備な状態になってしまいます。
アラートが真の脅威であるかどうかを見極め作業者の業務が極力滞らないようにすることが、セキュリティの観点からも重要と言えるのです。
また社内環境やポリシーに準ずるよう、設定調整や施策運用を行うことも大切です。例えば、パソコン等からデータをアップロードできるストレージサービスについて、それ自体は悪意があるものではないが機密情報のアップロードも可能であるため、何らかの対策をとるべき、という方針が上層部より示されたとします。一律に利用をブロックしてしまうと業務に影響が大きいと判断された場合は、利用の検知はするがブロックはせず、検知された端末についてストレージサービスの利用が業務上正当なものであるかの調査をする、などの運用が考えられます。
2.外的要因のセキュリティリスクから100%の防御はできない
基本的に外的要因のセキュリティリスクをゼロにすることはできません。インターネットに接続している以上、常に外的要因リスクは存在しているのです。①で未知の脅威も防御できると書きましたが、それも勿論完璧ではありません。攻撃手法は常に変化し、新たなマルウェアも生み出され続けているのです。
例えば2019年の終わりごろから広く知られるようになり、現在でも観測されているマルウェアEmotet(エモテット)は、初期は攻撃メールに添付されたファイル(主にMicrosoft WordやMicrosoft Excel)を開くと感染するというものでした。のちにメール本文のショートカットファイルにて感染させるものが確認され、2023年に入ってからもMicrosoft OneNote形式の添付ファイルにより感染させるものが新たに確認されています。
【参考】IPA 「Emotet(エモテット)関連情報」
https://www.ipa.go.jp/security/emotet/index.html
セキュリティ製品で完全に防ぎ切ることはできないという前提の下、攻撃が発覚した場合には速やかに適切に対処することが重要です。
3.内的要因によるセキュリティリスクも存在する
残念ながら人による意図的な不正行為が行われる可能性も考慮する必要があります。
また、悪意はなくとも、リスクのある行動をとってしまうことも十分考えられます。例えば②で紹介したEmotetは、あたかも社内の人や取引先の人からのメールと錯覚してしまうような、巧妙なメールを送りつけることが特徴です。騙されて添付ファイルを開いてしまうなど、マルウェアに感染してしまう可能性があります。
また、近年急増しているサポート詐欺があります。ブラウザ上に、パソコンがウイルスに感染したので解消のために記載の電話番号に架電するように促す画面が表示され、電話をかけてしまうとウイルス除去の報酬として金銭を振り込むように要求されるといった特徴があります。さらに、遠隔操作ツールを導入するように誘導され、パソコンを遠隔操作されてしまう事例もあります。業務で使用するパソコンが遠隔操作されてしまうと、金銭搾取だけでなく機密情報漏洩や社内の他端末へのマルウェア拡散のリスクも発生します。
【参考】IPA 「偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に」
https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20230228.html
社内の人が起こした事象に対処する、もしくは起こさないようセキュリティ対策を講じることが重要です。
「セキュリティは文化である」の醸成
セキュリティ製品を導入するだけでは十分ではないため、セキュリティを文化にすることが重要になってきます。
セキュリティを文化にする、つまりセキュリティ文化を醸成するためには、まず、全従業員に対する効果的なセキュリティ教育・トレーニングやセキュリティ関連情報の周知が必要であると考えます。当たり前のことと思われるかもしれませんが、社員一人ひとりのセキュリティ意識、当事者意識が低い状態では、トップダウンで効果的な施策を策定したとしても上手く運用できずに形骸化してしまう恐れがあります。
当事者意識という点では、不審メールを受信した際に、記載のリンクをクリックせずに無視できるかを確認するメール訓練や、日常生活でも役に立つ情報を発信することも有効であると考えます。前述のサポート詐欺は、基本的に個人を標的とした犯罪ですので、企業・団体に対するセキュリティ攻撃とは結び付かない方が多いかも知れませんが、日常生活に潜む脅威を周知し意識させることで、業務においても自然とセキュリティを意識した行動をとれるようになることが期待できます。
繰り返しになりますが、業務で使用するパソコンが遠隔操作されてしまうと重大なセキュリティ事故に発展する可能性がありますので、注意喚起も必要です。
【参考】IPA 「会社や組織のパソコンにセキュリティ警告が出たら、管理者に連絡!」
https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20230711.html
セキュリティ教育・トレーニングの具体例と効果
定期的な教育コンテンツの展開や断続的にセキュリティに関連する情報を発信することは、セキュリティ意識向上だけでなく、実際のセキュリティ強化にも効果が見込めます。以下に2つの例を記載します。
- ランサムウェア被害防止効果
- 内部不正防止効果
1.ランサムウェア被害防止効果
近年ランサムウェアによる被害が増加しています。ランサムウェアは感染するとデータが暗号化され使用できない状態になり、犯罪グループから復合化する対価として金銭等を要求されたり、支払わなければデータを公開すると脅迫されたりするといった特徴があります。企業・団体に与える影響の大きさからメディアで取り上げられることも少なくありません。
警視庁が発表した2022年の統計によると、国内でのランサムウェアの感染経路の63%がVPN機器から、19%がリモートデスクトップからの侵入によるもので、機器の脆弱性や強度の低い認証情報を突かれて侵入された可能性が示唆されています。強度の低い認証情報とは、ID・パスワードを推測されやすい単純な文字列にしたり、複数サービスで同じものを使い回したりすることを含みます。つまりランサムウェア被害全体の82%が、機器の脆弱性を放置せず、公開される脆弱性情報を従業員に通知して対応を促し、ID・パスワードを推測されやすい単純な文字列にしない、複数サービスで使い回さないなど、認証情報を適切に設定するよう注意喚起することで防げた可能性があるということです。
【参考】警視庁 「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
公開されている脆弱性を放置することの影響という観点から、CISA(米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁)が公表した2022年に悪用が確認された脆弱性の上位12件を紹介します。
CISA 「2022 Top Routinely Exploited Vulnerabilities」
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a
公表された脆弱性の多くは2021~2022年に公開されたものですが、2018年に公開された「CVE-2018-13379」も含まれていました。数年前に公になり、解決方法も周知されている脆弱性が悪用され続けているという点で、如何に多くの企業・団体で脆弱性が放置されているかということが伺えます。
また上位12件には入っていませんが、2017~2020年に公開された脆弱性も多く悪用されていることが確認されています。
日本でも2021年に大きな話題になった、つるぎ町立半田病院のランサムウェア被害もこの脆弱性を悪用されたことが直接の原因であったと有識者会議の調査報告書で言及されています。
徳島県つるぎ町立半田病院 「コンピュータウイルス感染事案有識者会議調査報告書について」
https://www.handa-hospital.jp/topics/2022/0616/index.html
2.内部不正防止効果
内部不正に関して、「不正のトライアングル」という考え方をご存じでしょうか。以下の三要素が揃った時に、人は不正行為に及んでしまうというものです。
① 機会
⇒客観的に不正の実行が可能である、不正をしても気づかれないと考えられる状況にある。
② 動機・プレッシャー
⇒経済的に困窮しているなど不正行為に駆り立てる事情がある。
③ 正当化
⇒何らかの理由をこじつけて、不正を行う罪悪感を払拭するよう自分自身に言い訳をする。
教育コンテンツに社内で行われているセキュリティ対策の内容を盛り込み、不正を行った場合は感知されることを周知すれば、①機会は取り除くことができる可能性があります。
セキュリティ文化醸成に対するCSIRTの役割
一般的にCSIRTは、セキュリティ製品の運用やセキュリティインシデントの調査・対処が大きな役割となっています。セキュリティ啓蒙活動による従業員のセキュリティ意識向上もその1つです。
セキュリティ製品の導入だけでは不十分である理由を3つ述べましたが、それらを全て補足する役割を持っているのがCSIRTと言えます。
特に啓蒙活動は目に見える形での効果が表れにくく、地道な活動をコツコツと続けていく必要がありますので、CSIRTの様な専門組織が中心的役割を担うことが重要だと考えます。
富士ソフトではCSIRT構築・運用支援サービスを提供しています。
教育支援プランからSOC(Security Operation Center)と組み合わせたインシデントマネージドプランまで、お客様のご要望に応じてカスタマイズ可能です。ご興味がございましたら、下記リンクより詳細のご確認及びお問い合わせをお願い致します。
CSIRT構築・運用支援サービス
/project/s/csirt.html
