本日の情報セキュリティコラム(2014年2月19日)
本日の情報セキュリティコラム(2014年2月19日)
2014年2月19日
情報セキュリティにおける「緊急対応」というお仕事
名和 利男
最近の深刻なサイバー攻撃は、その目的を達成するため、不正侵入に成功した内部ネットワークにおいて、長期間に渡って様々な工夫を凝らしてシステム内部に潜み、試行錯誤を繰り返しながら攻撃準備を行うことが大きな特徴となっています。
そのため、このような攻撃への対処活動の大半は、潜在化していた攻撃挙動を明らかにする「実態解明調査」となっています。(残念ながら、見た目の事象と推測に基づく調査で済ませてしまった組織では、同様な攻撃が再発したところがあります。)
しかし、組織内部には、このような調査を首尾よく行うことが出来る人材がいないため、外部のセキュリティ専門業者に「緊急対応」という名目で委託をすることが一般的です。
このような「実態解明調査」という目的を伴う「緊急対応」という仕事は、次のような観点で、「火消し」に類似するところがあります。
1. 日頃から火消しのための訓練(スキルや能力の維持)をしておく
2. いつでも呼び出し(緊急対応の要請)を受けことができる体制にしておく
3. どのような火事(インシデント)でも対応しなければならない
4. 延焼拡大(インシデントの拡散)を抑制する
5. 徹底的に火を消す(インシデントに関係する挙動を停止させる)
6. 火元の場所、出火原因、火元調査を行う(実態解明調査を行う)
最近は、上記3.及び 4.が現場担当者の努力で完了済み、或いは事後の調査でインシデントが発生していたことが判明して、6.のための外部委託するケースが増えつつあります。
しかし、ここ1年間程の「緊急対応」の仕事の中で、困ったことが出てきています。その幾つかを紹介します。
- 実態解明調査の拠り所となる「サイバー攻撃による挙動の痕跡やログ」が、極端に少ないか、各部門に分散し過ぎていているため、攻撃挙動の一部しか解明できない。
- 被害組織の関係者の方が、最近のサイバー攻撃の仕組みに詳しくないため、経験したサイバー攻撃の位置付けを把握するための情報収集と、上層部への説明のための資料作成に相当な時間をかけてしまう。
- 他の部門の方の不理解のため、調整に手こずってしまい、組織全体の状況把握だけでも、相当の時間がかかってしまう。
- 外部のセキュリティ専門業者による報告内容に専門的な概念や用語が多く、報告を受けた被害組織の関係者に誤認識や不理解が発生するため、同じ事項の説明を何度も繰り返さなければならない。
- 緊急時でありながら、被害組織内部では通常時と同じような報告や周知の手続きを とっているため、都度、噛み砕いた説明をしなければならない。
- 実態解明を担当する方の権限が限られているため、調査に必要な社内情報を得るための手続きが煩雑で、都度、説明責任を作成しなければならない。
このように、情報セキュリティにおける「緊急対応」の場では、管理面で改善すべき点が非常に多い状況です。また、要請を受ける側は、昨年からオーバーフロー状態が続いており、全ての要請に対して応えることができなく、心苦しい日々が続いています。
最後に、これまでの被害組織が反省されたことを代弁して申し上げると、"サイバー攻撃が顕在化していないうちに、少し想像力を働かせた上で、「緊急対応」で必要な仕組みの構築と試行運用をしておくことが非常に重要"となっています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
ヤフーにおけるセキュリティの取り組み
戸田 薫
■ 情報セキュリティとの関わり
ヤフー株式会社 システム統括本部 技術支援本部 開発促進部 セキュリティプラットフォーム/黒帯 セキュリティの戸田 薫です。
私は、リーダーとしてセキュリティの技術部門をマネジメントしながら、サービスのセキュリティや妨害対策を検討し、システムの設計や開発をしています。毎週、チームメンバーと面談を通じて、今抱えている課題の解決策を一緒に考えています。サービス開発のセキュリティ面の課題を一緒に検討すること、セキュリティ技術に関わる教育、問題発生時のインシデントハンドリングなども行っています。今、関わっている重要な案件の1つは、オフィスネットワークやサービスネットワークの両方を含めた今後のセキュリティ対策を推進していくことです。
「黒帯ってなに?」って思われる人のために簡単に説明をしておくと、ヤフーには、社内の認定制度に指定技術領域における高い専門性を発揮している人に与える「黒帯」と呼ばれるタイトルがあり、私は、「セキュリティ」の「黒帯」ということになっています。
私のセキュリティ技術チームが行っていることは、いろいろありますが、いくつか具体例を以下に挙げます。
- サービス・システム開発における相談役
- 全社的なセキュリティ対策の提案
- セキュリティ対策プラットフォームの提供
- インシデントレスポンス
- 教育
- セキュリティスキャン
- 脆弱性情報の可視化
外から見えないところのシステム開発が多いのですが、私のチームで近年開発したシステムの中には、ログインサービスで使用しているニ要素認証のシステムとスマホ用のOTPアプリがあります。
http://id.yahoo.co.jp/security/otp.html
※上記リンクをクリックすると別サイトに移動します。
今回は、簡単ではございますが、不正アクセスが発生した際に行った対策について紹介させていただきます。
■ インシデントレスポンス
2013年にユーザーデータベースへ外部からの不正アクセスが発生しました。
1度目の不正アクセスは、基本的に最高セキュリティ責任者(CSO)の直下の部隊が対応にあたっていました。
2度目の不正アクセスを受け、私と私のチームも対策に乗り出すことになりました。
外部とのコミュニケーションをするグループと技術対策を行うグループにわけて対応を実施しました。
不正アクセスを受けたサーバーの応急処置の方法を提案し、対応可能なスタッフをすぐに集め、対応に当たりました。
認証情報や信用情報など特に守らなければならない情報を扱っているサービスの現状を整理し、1つ1つレビューを行い、見直しも行いました。
仕掛けられていたバックドアの解析は、テクニカルディレクターや関係者を集めて、全員で同じターミナルを見ながら、カーネルトレースやトラフィックを見て、挙動をみるといったこともやりました。
セキュリティインシデントの全社的な技術対策の検討と実施を行うことが決まり、 テクニカルディレクターや一部の黒帯を集め、すぐに実行可能な短期の全社的なセキュリティ対策を検討しました。
短期施策は、中長期の対策によっては無駄になっても構わない、という前提で作りました。
監視、ロギング、認証、アカウント、アクセス制御などを一気に見直しました。
私のチームでは、それまでやっていた開発などをすべてストップし、全エンジニアが監視やロギングのプラグインや認証強化のためのシステムの開発を担当しました。認証強化の一環で、サーバーへのログインには、ニ要素認証を追加しました。
全社のエンジニアは、セキュリティ短期対策を優先する指示が出され、サービス開発を止めてでもセキュリティ対策を優先して実施しました。
監視強化の影響で、アラートが多発によりメールシステムの負荷が高くなる、システムによっては監視のプラグインの影響で負荷が高くなる、オペレーション部隊の確認作業が増えるなど、いくつもの問題が発生しました。
短期対策の開発を終えたあと、自チームが運営しているシステムへの適用を進めながら、中期対策の1つのユーザーデータそのものの保護のためのシステム開発に着手しました。いくつもの関連部門があり、情報を整理しつつ、設計や開発を進めながら、設備の準備をしました。
不正アクセスを受けて、対象となった端末やサーバーのフォレンジックを専門の企業に調査を依頼しました。
調査は、ネットワークのフローログやファイアーウォールのログがあるほうがより効果的に調査ができます。
アクセスが多い環境だとすべてのログを取得することが難しかったりするため、多くの企業で課題になるのではないでしょうか。
短期対策がおおむね終わりを迎えたころに役員やテクニカルディレクター、セキュリティの主要なメンバーを集めて、合宿を行い、不正アクセスが発生した原因や現状の整理、これからのことを検討しました。
最高経営責任者(CEO)の宮坂は、2012年に「ユーザーファーストでサービスのことを考え、サービス開発を爆速でやって、サービスを磨き上げていく」という方針を全社員大会で発表しました。2013年の全社員大会では、「セキュリティもユーザーファーストである」と新たに付け加えました。経営層にもセキュリティの重要性が認知され、CSOからCEOやCOOへ働きかけもあり、部門面と設備面の両方で改善しやすい環境が整ってきました。
情報システム部門やセキュリティ部門の予算は、カットされやすいこともあるとは思うのですが、それだと十分な対策ができなくなってしまうことも事実です。
売上の何%は、防衛費に充てるといった考えが必要であるとセキュリティ対策の予算のあり方を見直しました。
■ セキュリティ対策は続く
大きなインシデント後も継続して標的型攻撃を受け続けています。その中には、ゼロデイを利用した攻撃もありました。
今後も引き続き、異常を検知し、すぐに対応できる環境整備が必要だと感じます。
2012年からセキュリティを大幅に改定していくための中長期計画の原案を温めていました。2013年の春からさらに具体的なプランを練っていました。短期対策を行っている最中も担当者が発生したインシデントも考慮に入れた案を準備していました。短期対策後は、チーム内のエンジニアも含め、より詳細をつめていくことなりました。中長期のセキュリティ対策を過不足なく行うため、客観的視点で評価できる第三者として、セキュリティ企業にアドバイザーを依頼し、夏に対策案のレビューも実施していただきました。
セキュリティ対策は、それぞれの担当部署が個別に検討や実施するのではなく、全体のバランスを取りながら実施される必要があるため、中長期対策は、CSO/CTOの元にセキュリティ対策プロジェクトを発足して進めています。
特に関係の深いネットワーク部門と情報システム部門とセキュリティ部門を集めた本プロジェクトでは、扱う範囲が広いため、「サービス系」「情報システム」「監視」「インシデントレスポンス」などいくつかのワーキンググループに分けました。それぞれのワーキンググループのリーダーには、私のチームメンバーからリーダーを任命し、それぞれのグループを引っ張ってもらっています。
セキュリティ部門と各現場は、考え方が異なるため、考えをまとめるのは、苦労しました。ネットワークが大きく、機器も多く、グループ会社もそれなりにあるため、必要な情報を集め、正確に把握するのにも苦労させられました。
他部門のワーキンググループメンバーは、本来業務もあり、セキュリティ対策のための時間を確保してもらうのもなかなか難しいといった事情もありますが、なんとか時間を捻出しています。
安心して利用できるサービス作りを支援していく部隊として、見える部分、見えない部分の両面でモニタリングやセキュリティ監視の整備、認証システムや検査の強化など、さまざまな方面に尽力していきます。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。