セキュリティー・サービス

「己」を知り敵に備える: IBM X-Force Redのテストが明らかにする自社の弱点

2021-06-16

記事をシェアする:

孫子の兵法は「彼を知り、己を知れば百戦殆うからず」と述べている。これはサイバーセキュリティーの世界にも大いに通じるところがあるだろう。「彼（サイバー犯罪者）」の状況については、日々様々なメディアで被害が報じられている。また、公的機関によるさまざまな注意喚起やサイバーセキュリティー企業が提供する「脅威インテリジェンス」を活用することで、最新の情報を得ることができるだろう。

一方、「己」の姿はどうやって把握すればいいだろうか。サイバー攻撃で悪用される「穴」はさまざまだ。いわゆる「脆弱性」が攻撃者に悪用されることもあれば、設定やアクセス権限の不備、パスワードが破られて重要なシステムや機密データへのアクセスを許すこともある。メールや電話口の話にユーザーがだまされ、重要な情報を漏らしてしまうことだってある。こうしたさまざまな手法に対する自社の耐性はどのくらいあり、どこに弱点があるのかを正確に把握することが対策の第一歩だ。

ただ、己の目だけに頼ってチェックしても、過信や思い込みによる見落としが意外と生じがちだ。事実、不正アクセスの原因をよくよく調査してみると、情報システム部も把握していなかった「抜け穴」が見つかることも多い。そうした事態を防ぐには、専門的な知見を持つ第三者の視点で「セキュリティーソリューションを多数導入してはみたものの、本当に自社のリスクはカバーできているか」「どこかに弱点が残っており、攻撃者に不意を突かれる恐れはないか」を明らかにしていくことが重要だ。

3種類のテストを通じてセキュリティー対策の成熟度向上を支援

サイバーセキュリティーの世界では以前から、このように「己」の姿を把握する作業を支援するセキュリティーテスト用のツールやサービスが提供されてきた。アイ・ビー・エム（IBM）では、業界有数の経験と技術を有する200名を超えるエシカル・ハッカーやセキュリティーリサーチャーで構成される専門チーム「X-Force Red」を通じてセキュリティー診断を提供している。

日本IBMセキュリティー事業本部のX-Force Red Japanリーダー、ブランドン・フォード氏は「顧客のシステムにどんな脆弱性があるかを特定し、それがどのように悪用されうるかを示す手伝いをしています。単に脆弱性を指摘するだけでなく、悪用の結果何が起こるか、たとえば企業システムに対するアクセス権限を不正に取得されたり、クリティカルな情報にアクセスされたり、あるいは意図に反する操作を行われて業務に混乱が生じたりする恐れがあることを、デモンストレーションを通じて明らかにしています」と説明した。

日本アイ・ビー・エム株式会社
セキュリティー事業本部X-Force Red 日本リージョン責任者エシカル・ハッカー
ブランドン・フォード（Brandon Ford）

世の中のセキュリティー診断サービスの多くが、シグネチャに基づいてOSやシステムにどのような脆弱性が存在するかを検査する「脆弱性スキャナ」を用いたサービスだ。こうしたツールはもちろん有用であり、特定の業界に特化したものも存在するが、「ツールだけでは往々にして誤検知が発生します。また、脆弱性が存在する可能性は指摘できても、断言することまではできません」とフォード氏はいう。また、ビジネスロジック上の問題や、複数の脆弱性が組み合わさった場合に生じる問題を指摘するのも困難だ。

そこでX-Force Redも含む多くの専門的なセキュリティーサービスでは、ツールだけに頼るのではなく、専門家が確立された方法論に基づき手作業で擬似的な侵入により脆弱性を検証する「ペネトレーションテスト」も提供している。ペネトレーションテストではマニュアルでテストを行うことで誤検知を減らすだけでなく、「攻撃者の視点から調査を行うことが特徴です。まずシステムに関して最大限の情報を入手し、その中から不正アクセスや情報窃取などに活用できそうな脆弱性にフォーカスしていきます。そして、単に脆弱性を発見するだけでなく、それが悪用されたときに何が起こるかまでを徹底的に調査します」（フォード氏） X-Force Redではさらに、標準的なペネトレーションテストの一段上のテストとして、「攻撃者シミュレーション」も提供している。

時には数ヶ月もの時間をかけ、SOCやCSIRTといったセキュリティーチームの目から逃れるステルス的な動きをしながら、企業のクリティカルな部分への侵入が可能かどうかを診断していくもので、「サイバー攻撃者がどのようにネットワークにアプローチして侵害テクニックを使うかをシミュレートすることで、SOCチームの攻撃検知・対応能力向上を支援します」（フォード氏）このようにX-Force Redでは複数の種類の診断サービスを提供することで、脆弱性対応にはじまり、機密性の高い資産を危険にさらす可能性のある脆弱性を見つけ出して修復したり、SOCやCSIRTチームが脅威やリスクに対する検知・対応能力を高めたりして、企業としてのセキュリティー対策の成熟度を高めていく手助けを行っている。もちろん、日本をはじめとする各国の法律に沿った形でだ。

アプリやネットワークだけに限定せず、ハードや人も含め包括的に検査

最近では多くのセキュリティーベンダーが「診断サービス」を展開している。その中にあってX-Force Redのセキュリティーサービスの特徴の1つは、アプリケーション、ネットワーク、ハードウェア/組み込み機器、そして人間という4つの柱にまたがった評価と可視化を実施できることだ。

一般的なセキュリティー診断サービスは、アプリケーションとネットワークという、一般的なITシステムを構成する2つの分野にスコープを絞り込むことが多い。だがX-Force Redでは、クラウドなどの新しい環境から、メインフレームのように一般にはなかなか触れる機会のないシステムに至るまで、あらゆる領域をカバーしている。いわゆるIoTのほか、工場やプラントを支えるOTやICSシステム、さらにはコネクテッドカーなど、ハードウェアと一体化したさまざまなシステムについても最先端の知見を持ち、グローバル規模での診断ができることが大きな強みだ。

セキュリティーを構成する鎖の輪の中で最も弱い輪になりがちな「人間」に対するテストも行える。すでにあちこちで報道されているとおり、フィッシング、あるいは電話で関係者になりすます「ビッシング」のようなソーシャルエンジニアリングを活用した手法はさまざまなサイバー攻撃で悪用されている。入退室ゲートや鍵など物理的なセキュリティーを突破される場合もあれば、ゴミ箱をあさって重要な情報を探し出す古典的な手口もある。

X-Force Redはこうした人間の心理的、物理的な脆弱性についてもテストを行い、侵入を許しかねない弱点がないかを洗い出すことができる。X-Force Redのソーシャルエンジニアリング診断チームには、世界的なセキュリティーイベント「DEFCON」で開催されるソーシャルエンジニアリングのCTF、「SECTF」で優勝した腕前の持ち主もおり、本物の攻撃者さながらのテクニックを用いて、人間の弱点、組織の弱点を指摘していく。

何より大きなポイントは、これら4つの柱それぞれのテストを単体で終わらせるのではなく、全分野にまたがった包括的なテストを実施できることだ。「たとえばATMマシーンのテストでは、ハードウェアやソフトウェアだけでなく、ATMが接続されているネットワークや物理的な鍵などのテストも行います。ATM本体に近づいて鍵を壊せるかを試し、もしUSBメモリを差し込んでアクセス経路が得られたら、アプリケーションをインストールしてシステムを乗っ取り、現金を盗み出せるかどうかを確認するといった具合に、網羅的なテストを行います」（フォード氏）こうしたテストを実施するには、ごく最近のITシステムの動向だけでなく、ハードウェアも含めた長年にわたるコンピュータサイエンスに関する知識が不可欠だ。ITテクノロジの歴史とともに歩んできたIBMという企業の一部門として診断を提供することのメリットはそこにある。

デジタルがビジネスを支える時代、ますます高まるセキュリティーテストの重要性

フォード氏は、いくつかの要因から、今後ますます高度なセキュリティー診断の需要は高まると予測する。1つ目は、デジタルトランスフォーメーション（DX）の気運の高まりを背景としたアプリケーション開発の拡大だ。

「アプリケーション開発に当たってはテストが不可欠です。X-Force Redでは静的コード解析や動的解析に加え、ペネトレーションテストを通じて脆弱性やビジネスロジックの欠陥を特定し、日々開発が進むアプリケーションのセキュリティー担保を支援します」（フォード氏）

また、クラウドサービスの導入は以前から徐々に広がってきたが、COVID-19をきっかけにしたリモートワークの広がりでその傾向がいっそう加速した。「X-Force Redにはクラウドインフラ専門の検査チームもあります。今後は、クラウドと連携した全体的なインフラのセキュリティーを診断していく必要がますます高まるでしょう」（フォード氏）もの作りを生業とする製造業も、セキュリティー診断とは無縁ではいられない。自社が生産するIoTデバイス、そしてそのデバイスを生産するラインを司るOTにセキュリティー上の問題があれば、事業に大きなダメージを与えることになる。診断を通じてそうした可能性を潰していくことが、製品のセキュリティーを、ひいては品質を担保することになるだろう。

フォード氏は「自動車産業では特に、国際的なセキュリティー規制への準拠が求められつつあるなか、X-Force Redはコネクテッドカーに特化した診断も得意としている」と述べ、ぜひ活用してほしいとした。

長年にわたってセキュリティー業界に携わってきたというフォード氏だが、かつてメンターから「セキュリティーは、歯の衛生を保つことと同じだ」と教えられたという。「毎日歯磨きをして、定期的に歯医者に通い、検診を受けるのと同じように、自社の資産とリスクを日々管理し、定期的なシステムのアップデートや既知と未知の脆弱性を検査し、ドキュメント化されたプロセスに基づいて問題を解決することが重要です」と述べ、専門家の知恵をうまく活用し、「己」の姿を正確に把握しながら、サイバーの世界における「衛生」を確保し続けていってほしいとした。

本記事は、朝日インタラクティブ社による取材記事を転載したものです。