松田 幸裕 記
昨今、ランサムウェアを中心とした企業ITへの攻撃が絶えません。IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」では、「ランサム攻撃による被害」が10年連続トップとなっていて、各社が警戒し対策しているはずですが、それでもランサムウェアによる被害の報道は多い状況です。
最初にお伝えしておきますが、本投稿は「ゼロトラスト系の製品・サービスを使いましょう」という話ではありません。ゼロトラストの考え方に基づき「社内だから安全」という意識を捨てられたとして、そこからどのようにして社内IT環境を守るべきなのか?というところを考えたいと思っています。
社内ITへの攻撃経路は?
まず、社内ITへの攻撃経路に関するイメージを合わせておきたいと思います。
攻撃の経路として代表的なのは、「ネットワーク機器を経由した侵入と攻撃」と、「PCに感染し、感染したPCを踏み台として攻撃」でしょう。「ネットワーク機器を経由した侵入と攻撃」は、リモートアクセスVPN機器などネットワーク機器の脆弱性を突いて、そこから社内IT環境へ侵入し、攻撃するという流れです。「PCに感染し、感染したPCを踏み台として攻撃」は、各PCで行われるメール受信やWebアクセスを利用してマルウェアに感染させ、そのマルウェアを起点としてその他のPCやシステムへと攻撃を広げていきます。
本投稿では、これらの攻撃をイメージして話を進めます。
クラウドサービスと同等の認証で、安全になるのか?
クラウドサービスは昔から「インターネットに面しているため危険」と言われてきたため、セキュリティはオンプレミスのシステムと比べてはるかに強固に作られています。そんなクラウドサービスでは一般的にどのような対策が行われているのか、そしてその考え方をそのままオンプレミスに適用できるのかを考えてみたいと思います。
一般的にクラウドサービスでは、利用する前の認証において「スマートフォンなどを利用した多要素認証」、「証明書などを利用したデバイス認証」などによって、IDとパスワードのみでなく認証を強固にしています。これらをオンプレミスのパッケージシステムや自社開発のシステムに実装できれば、クラウドサービスと同等のセキュリティ強度を実現できますが…、実現するのは一苦労でしょうね。オンプレミスの各システムはIDとパスワードで認証を通過できるものが多く、多要素認証の機能を持っていないパッケージシステムも多いと思います。
仮にその壁を超えることができて、すべてのシステムで認証を強化できたとした場合でも、更なる壁が待っています。ネットワーク機器を経由して直接外部から各システムにアクセスしてくる場合は、認証の強化は有効です。しかし、マルウェア感染したPCが踏み台にされてしまうと、そうもいきません。マルウェア感染したPCにも証明書は入っているため、証明書を使用したデバイス認証では通過されてしまうためです。また、スマートフォンを利用した多要素認証は有効ですが、「一度認証された場合、そのデバイスからのアクセスは一定期間多要素認証を不要とする」という対応をする場合も多く、その間は多要素認証不要で通過できてしまいます。だからと言って、それを懸念して毎回スマートフォンでの多要素認証を強制した場合、ユーザーの利便性低下につながりますし、多要素認証の頻度が多いと「多要素認証疲労」と言われる症状が表れ、「無意識にスマートフォンで承認ボタンをタップしてしまう」という状況に陥ります。
さらに、ファイルサーバーなどは各種常駐アプリからもアクセスする場合が多く、仮にファイルサーバーで多要素認証ができたとしても、「これらの常駐アプリからアクセスする場合は、多要素認証をバイパスする」など多くの考慮が必要となります。
AD対応ITDRのすすめ
このように、「社内は安全というわけではないため、社内システムも同様のセキュリティ対策を」と言っても、そう簡単な話ではないのです。
「じゃあ、どうすればいいの?」と考えた時、一つの有力な策としては「侵入を検知し迅速に対応すること」があります。社内に入られた場合、このような考え方もしていかないと社内ITを守ることができない、とも言えますね。
また、「どこで侵入を検知するか?」ですが、効果的なのはやはりActive Directoryではないでしょうか。多くの企業ではActive Directoryがあり、サーバーやPCがActive Directoryに参加しています。攻撃側としても、社内に侵入できた場合に狙う可能性が高いのはActive Directoryです。よって、Active Directoryへの攻撃を検知して迅速に対処することは、効果的な対策になると考えます。
このソリューションはITDR(Identity Threat Detection and Response)という領域に位置づけられますが、Active Directoryへの攻撃を検知するITDRソリューションが各社から出されています。例えば、Microsoft Defender for Identity。元々はATA(Advanced Threat Analytics)、Azure ATP(Advanced Threat Protection)と呼ばれていたもので、Microsoft 365 E5などのライセンスをお持ちであれば利用可能です。また、つい最近「東京エレクトロン デバイス、米Semperisと代理店契約を締結 ADを脅威から保護するITDR製品をSOCサービスで提供」という記事を見ましたが、このSemperisも要注目のソリューションですね。
本投稿では触れませんでしたが、もちろん各種サーバーの更新プログラム管理や、各種サーバーの不要ポートの閉鎖、バックアップによる復旧手段の準備など、地道な活動は必要です。ただ、前述の通り攻撃シナリオを考慮すると対策は容易ではありません。ぜひITDRソリューションなども含めて、「社内でも安全とは言えないとして、どのように攻撃されるのか?どのように社内ITを守るのか?」を具体的に考えてみることをお勧めします。