効果的なセキュリティリスク対策とは?攻撃者目線で考える
【目次】
セキュリティ対策の話では、必ず『リスク』という言葉が登場します。教科書でも、『対策はリスクに応じて行う』と定義されています。
セキュリティリスクは、一般的に「侵害が発生する可能性」と「侵害された場合の影響/被害の大きさ」を掛け合わせたものとして考えられます。しかし、これらを正確に数値化して、厳密に計算することは容易ではありません。保険会社のような企業を除けば、計算に必要な統計情報が少なすぎるからです。
このため、多くの企業では、セキュリティリスクの評価が定性的なものにとどまりがちです。その結果、セキュリティリスクの大きさを部門間で比較したり、セキュリティ対策コストの妥当性や効果を客観的に評価したりすることが難しくなります。
では、厳密な計算は難しいとしても、会社全体のセキュリティリスクをざっくりと把握する方法はないのでしょうか。
ひとつの考え方として、サイバー攻撃を受けやすい状態かどうかに注目する方法があります。攻撃を受けやすい状態は、攻撃者から見れば『攻めやすい』状態にほかなりません。
では、攻撃者はどのような企業やセキュリティ体制が「攻めやすい」と判断するのでしょうか。その答えを知るには、防御する側の視点だけでなく、攻撃者の視点に立って考える必要があります。
そこで、これから「悪のハッカーX氏(仮名)」に仮想インタビューを試みることにします。
セキュリティリスクが高い企業とは?攻撃者が狙うポイント
そもそも攻撃者はどのような企業を狙うのでしょうか。この点について、X氏に聞いてみたところ、次のような答えが返ってきました。
たとえば、価値の高い情報を多く保有する大企業は、攻撃者にとって魅力的なターゲットです。一方で、その分セキュリティ対策も強固であるため、攻めるには周到な準備が必要になります。
一方、中小企業でも攻撃する価値はあります。自社単体で価値の高い情報を持っていなくても、取引先や委託先に関する重要な情報を保有しているケースが多く、そこに価値を見出す攻撃者も少なくないからです。
また、本命である大企業や重要な取引先を攻撃するための「足場」として、サプライチェーンに属する企業が狙われることもあります。標的企業に直接攻撃を仕掛けると、攻撃元が探知されて特定されやすくなるため、まずは防御が比較的手薄な企業等に侵入し、そこを足場に攻撃を広げるのが常套手段だそうです。
このように、攻撃者が不正侵入の中継地点として利用する企業やシステムは、「踏み台」と呼ばれます。守りの堅い本命の企業を狙う場合には、かなりの数の踏み台を用意するケースもあるようです。
先ほど登場した仮想ハッカーのX氏曰く、「うちなんて狙われるものも無いからセキュリティ対策なんて…」と言っているような企業は、攻撃者からすると狙いやすいと判断されがちだそうです。
セキュリティリスクを増やす「対策の抜け穴」とは
「ハッカー」という言葉には独特の響きがあります。どんな防御も正面から破ってしまう無敵の存在を思い浮かべがちです。しかし、このイメージについてX氏は「現実とは少し違う」と言います。
プロのハッカーたちは、明らかに強固なセキュリティ対策が講じられている正面からの攻撃を、できる限り避けるのだそうです。正面突破は、多大な労力を要するばかりでなく、失敗する可能性が高いからです。彼らは「リスク」に敏感です。この場合のリスクは彼らにとっての失敗の可能性です。
X氏は、攻撃に着手する前に、まず十分な時間をかけて、相手の弱点を探すところから始めると言います。できるだけ守りの弱いポイントを見極め、慎重に攻撃を行います。逆に、セキュリティ対策が十分に講じられている可能性が高いポイントには、あえて近づきません。
特に、セキュリティ対策が堅そうな企業を狙う場合には、企業単体ではなく、取引先や委託先などを含めて広範囲に調査を行います。そのなかで、セキュリティ対策が不十分な関連会社が見つかれば、まずはそこを起点に侵入し、足場を築くのが一般的な手口だといいます。
X氏はこうも語ります。
「相手が手強ければ手強いほど、準備には時間をかける。急いで正面からぶつかることはしません。」
攻撃者の視点で見るセキュリティリスクとリターンの関係
「実力があるハッカーなら、多少の壁は乗り越えるでしょう?」
そう問いかけると、X氏は、少し考えたあと、こう答えました。
攻撃者も、やみくもに攻撃を仕掛けているわけではありません。得られる成果が大きいと判断した場合には、時間や労力を惜しまず、様々な準備をした上で、本命の企業を狙うこともあります。もちろん、そのためには事前に十分な準備を重ねる必要があります。
一方で、その企業が単なる「踏み台」に過ぎなかったり、実際に侵入してみないと価値があるかどうかわからない取引先であったりする場合には、無理をしないといいます。攻める価値が不確かな相手に時間を費やすよりも、もっと容易に侵入できる対象を探す方が合理的だからです。
X氏の話から見えてくるのは、攻撃者は常に「リスクとリターンのバランス」で考えるという点です。
逆に言えば、最低限のセキュリティ対策を講じておくことだけでも、「手間がかかる割に得るものが少ない相手」と判断され、攻撃対象から外れる可能性は高まります。
では、攻撃者はどのようにして、相手企業のセキュリティ状況や対策の有無を見極めているのでしょうか。次は、その判断材料となる「外から見える情報」に焦点を当てていきます。
セキュリティリスク評価の基本「外部から見える弱点」
「昔からの格言に、【玄関が汚い家は泥棒に入られやすい】というものがあります。会社もそれと同じです。」
そうX氏は話します。
攻撃者にとって、会社のネットワークの玄関口(インターネットに接続されたサーバーや各種機器)の状態は、最初にチェックするポイントだそうです。攻撃と気付かれにくいようなポートスキャンをかけたり、インターネット上で公開されているスキャン情報を参照したりして、手早く状況を把握します。
もし、サーバーの脆弱性対策が適切に行われていたり、不要なポートがすべて閉じられていたりした場合には、攻撃者は「内部も含めて基本的なセキュリティ対策は実施されている」と判断します。一方、外から見える部分に脆弱性が残っていたり、不要なサービスが稼働していたりすると、「内部も含めてセキュリティ対策が不十分だろう」と推測するのだそうです。
玄関が整っていない家は、中の管理も行き届いていない可能性がある、というイメージです。さらにX氏は、Webサイトなどの更新状況も重要な指標だといいます。長期間更新されていないサイトは、管理が手薄である可能性が高く、攻撃者にとって狙いやすい目安です。
攻撃者目線でのセキュリティリスクスコアの付け方
「相手の攻めやすさは、総合的に判断します」とX氏。
「もし攻めやすさを100点満点で評価するとしたら、どこを見ますか?」と聞くと、X氏は重要なポイントをいくつ挙げました。
まずはサービスのアクセスコントロールです。たとえば、Webサーバーが最低限機能するために必要なポートはTCPの80番と443番だけです。それ以外のポートが開いたままのサーバーが複数あれば、攻めやすさは、たとえば30点程度は加算されるイメージだとX氏は説明します。
次に、脆弱性です。緊急度の高い脆弱性が、公表から1ヶ月以上放置されている場合は、さらに30点~40点が加算されます。トータルで60点を超えると、内部も含めてセキュリティ対策に不足がある可能性が高いと判断できるようです。
つまり、この点数が「攻めやすさ」、すなわち攻撃者から見たセキュリティリスクの大きさを示しています。逆に、100点からこのスコアを引くと、その会社のセキュリティ対策の強さを相対的に把握できるーこれがX氏のリスク評価方法です。
まとめ
X氏のインタビューから様々なことが分かりました。攻撃者は私たちが考えている以上に慎重なようです。むやみに攻撃を仕掛けるのではなく、リスクとリターンを天秤にかけています。
一方で、真に価値のあるターゲットには、必要があれば全力で攻めてくるのも事実です。しかし、全力を出すということは、彼らも少なからずリスクを背負うことになります。つまり、私たちがセキュリティ対策をすれば、攻撃者にリスクを背負わせ、場合によっては攻撃を思いとどまらせる抑止力にもなるのです。
こうした攻撃者目線で、自社や取引先の攻撃可能な対象を把握し、適切に管理していく手法を「攻撃対象領域管理(ASM: Attack Surface Management)」と呼びます。特に、インターネットなど外部からの調査を行うものは「外部攻撃対象領域管理EASM(External Attack Surface Management)」と呼ばれます。
EASMでは、ポートスキャンなどを通じて企業が所有するインターネット上の機器(資産)や公開サービスを把握し、脆弱性等を調査します。管理されていない機器を特定し、適切な対策を講じることが目的です。そうした仕組みを恒常的に運用することで、攻撃者にとって「攻めやすい状態」を減らすことができます。
EASMやASMをうたうサービスは多数ありますが、使いこなすには一定のスキルが必要な場合も少なくありません。比較的簡単に始められるのが、セキュリティスコアリングサービスです。
このサービスは、もともと取引先のセキュリティ状況を外部から把握するためのツールとして始まりました。仕組みは、EASMの場合とほぼ同じで、調査結果を100点満点のスコアとして提示してくれます。
同じサービスで調査すれば、複数の企業のセキュリティ状況を同じ基準で比較することができます。また達成基準を設けてスコアを管理することも可能です。これは、まさにX氏が話していた「セキュリティ対策の点数」にほかなりません。
100からこのスコアを引けば、「攻撃されやすさ」、つまりセキュリティリスクの大きさを把握できます。さらに、検出された問題を分析すれば、具体的なセキュリティ対策にも活かせます。
従来は取引先等のセキュリティ状況を外部から確認するために利用されてきましたが、もちろん自社にも活用可能です。自社のセキュリティリスクを攻撃者目線で把握するためにこうしたツールを活用してみてはいかがでしょう。
電通総研は、セキュリティ・リスク・スコアリングシステム「SecurityScorecard」(セキュリティスコアカード)と、サプライチェーンセキュリティリスク管理システム「Panorays」(パノレイズ)の提供を通じて、企業のセキュリティ状態を継続的にスコアリングする支援をしています。
各ソリューションの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。
セキュリティ・リスク・スコアリングシステム「SecurityScorecard」
サプライチェーンセキュリティリスク管理システム「Panorays」
