私は昨日、シアトル CTO クラブで、セキュリティ情報のプレゼンテーションを行う機会に恵まれました。ウォッチガードのパートナーである Equinox IT の先週のイベントで行ったプレゼンテーションに沿って、サイバーセキュリティの現状と企業が直面する主な脅威に関するディスカッションを行いました。一般的な攻撃パターンを説明した後に、効果的なセキュリティを実装するための戦略についての議論に移りました。そこで、同様の問題に直面した際の参考にしていただければと考え、当日のプレゼンテーションで私が受けたいくつかの質問とその答えをご紹介することにしました。

侵入テストは本当に有効か

ある参加者が、侵入テストの会社と契約したが、ネットワークへの侵入が成功したことがない、侵入テストの効果に疑問があると発言されました。侵入テストの会社がどれも同じわけではありません。自動化されたスキャンを実行して、スキャンソフトウェアで印刷されるレポートを提出するだけという会社もあります。さまざまなタイプのスクリプトテストや手動テストを使って、広範囲に渡る総合的な侵入テストを実施してくれる会社もあります。侵入テストの会社と契約する際は、信頼できるセキュリティ専門家だけでなく、侵入テストのサービスを利用したことがある他社の意見も参考にすることをお勧めします。ZDnet の「侵入テストの会社と契約する前に知っておくべき 10 の事柄」という記事(英文)が参考になるでしょう。

クラウドで最初に行うべきセキュリティ対策をどのように判断するか

機密データをいずれかのクラウドに移行する場合は、そのクラウド固有のセキュリティコントロールを理解しておく必要があります。AWS の「セキュリティプロセスの概要」などのセキュリティ関連のホワイトペーパーを参考にしてください。AWS を利用する場合は、AWS IAM の 10 のベストプラクティスに必ず従うようにします。そして、クラウド内のそれぞれのサービスや機能のコントロールを理解します。たとえば、AWS には、EBS ボリューム（仮想ハードドライブ）、S3（オブジェクトストレージ）、RDS（リレーショナルデータベースサービス）、Glacier（低コスト、低速アクセスのストレージ）が提供されており、各サービスのドキュメントに、そのサービスが VPC（Amazon プライベートクラウド）でのみ実行されるのか、インターネットアクセスが必要か、暗号化を利用できるか、サービスのアクセス許可をどのように設定するかが記載されています。S3 などのサービスの中には、リソース固有のポリシーが提供されていて、リソースへのアクセスを制限したり、データへのアクセスや保存に関連するルールを強制したりできるものもあります。

AWS ルート MFA デバイスの紛失にどう備えるか

会社によっては、AWS ルートアカウントにアクセスする際に使用する QR コードを印刷している場合もあるようです。私が知っているある会社は、印刷したコピーを金庫に保管しているそうです。CTO と CEO の自宅、さらには、金庫に保管しているという例もあります。QR コードのハードコピーを使用する場合は、緊急時にそのコピーを正しく使用できることをテストし、確認しておくことをお勧めします。私個人の経験ですが、アカウントに数ヶ月間アクセスしていなかったところ、QR コードを生成するデバイスが動作しなくなったことがあります。Amazon に連絡し、指示されたプロセスに従ったところ、短時間でアクセスを復元できました。リソースに余裕があるのであれば、サポートプランに登録し、AWS アカウントマネージャに質問できるようにしておけば、アカウントに問題が発生した場合も迅速かつ円滑に解決できます。

WAF の効果と使用の現状

WAF（Web アプリケーションファイアウォール）は、到着するすべての Web 要求を監視するセキュリティアプライアンスまたはサービスです。WAF は、HTTP 要求のすべての値と形式を検査し、共通の攻撃パターンが存在する場合は、その要求をブロックできます。攻撃パターンとしては、ディレクトリトラバーサル、SQL インジェクション、クロスサイトスクリプティングなどがあります。WAF では、攻撃者が Web サイトのスキャンや総当たり方式でのパスワードの突破の試行に備えて、回数制限を設定することもできます。ある参加者が、AWS WAF には、OWASP Top 10 に挙げられた Web サイト攻撃を緩和するソリューションが提供されていると指摘されました。WAF は、Equifax のデータ漏えいを防ぐことはできませんでしたが、それだけで価値がないと判断するのは早計です。私自身も数年前に作成したことがありますが、昨日の複数の参加者の会社でも使用されているとのことでした。どのようなセキュリティテクノロジもそうであるように、WAF も、新しい攻撃や脆弱性に対処するには、常に更新する必要があります。

API をどのように保護するか

API のセキュリティについては、さまざまな記事や書籍で詳しく解説されています。OWASP は、REST セキュリティの要点解説(英文)を提供しています。WAF は、HTTP 標準に準拠する API 要求を保護できますが、WAF には、認証、承認、あるいは暗号化が提供されていません。暗号鍵と認証鍵の取り扱いに関するいくつかのベストプラクティスについては、最近の Secplicity の記事で解説されています。認証実装のガイドラインである fido 標準に従うという方法があります。昨日は、ウォッチガードが最近買収した会社が提供しているような、サードパーティの認証サービスについても議論されました。HTTPS を使用することで、送受信されるデータを暗号化することも重要です。

中小企業はセキュリティ専門家を雇用すべきか、あるいはアウトソーシングすべきか

この質問の答えは 1 つではありません。侵入テストの場合と同様、専門家の雇用にあたっては、さまざまな選択肢があり、知識や給料のレベルも個人によって異なります。WatchGuard MSSP などのセキュリティを専門とする会社の IT サービスを利用し、パッチ適用やファイアウォールルールの作成などの IT サービスをアウトソーシングするという選択肢もあります。社員教育を重視しつつ、セキュリティ戦略の策定については優秀なセキュリティ専門家に依頼する会社もあります。さらには、常勤のセキュリティ専門家を新たに雇用したり、社員教育によってセキュリティ専門家を育成したりする会社もあります。外部の研修コースを選択する際は、講師に実務経験または正規の資格、あるいはその両方があることを確認します。専門性の高いセキュリティ認定資格としては、総合的なセキュリティ知識が必要とされる CISSP や、全般的あるいは特定の分野の知識が必要とされる SANS 認定などがあります。

新たな攻撃からどのように企業を保護するか

MFA

プレゼンテーションのスライドで説明したように、攻撃の 81％ が認証情報を不正取得するものであることがわかっています。MFA が最も効果的な対策ですが、パスワード管理アプリを使用する方法もあります。そして、従業員全員にパスワード保護の重要性を繰り返し説明します。

ネットワークセキュリティ

最近の攻撃で使われることが多いネットワークポートへのアクセスを禁止することで、データ漏えいの多くを回避できます。WannaCry はポート 445 にアクセスする必要があり、Mirai ボットネットがネットワークのデバイスに侵入するにはインターネットからポート 23 にアクセスできる必要がありました。NotPetya はポート 445 で内部ネットワークに拡散するため、ホストベースのファイアウォールでアクセスを防止する方法が有効でしょう。SANS が提供しているファイアウォールのチェックリストには、必須ではない限りブロックすることが推奨されるポートのリストが記載されています。WatchGuard Firebox は、ブロックされたポートに接続するホストを自動的にブロックできます。

セキュリティデータ分析や関連するツール

WatchGuard Total Security Suite に付属しているサービスなどのさまざまなツールで、データを分析し、新たな攻撃のパターンや方法から保護します。ネットワークを常に監視し、マルウェアが 1 つ以上のホストに感染していることを示すパターンを発見するようにします。ウォッチガードは四半期ごとに発行するセキュリティレポートで、セキュリティインテリジェンス情報を公開しています。

暗号化

保存データについてはデータのタイプごとに異なる鍵で暗号化し、バックアップについては別の鍵で暗号化し、異なる場所に保存します。

パッチ

パッチの適用は重要です。セキュリティチェックを組み込んだ自動パイプラインを作成し、ファイアウォール構成も含め、すべてのソフトウェア、構成、およびシステムの展開をチェックするようにします。Equifax のデータ漏えいを防ぐことはできませんでしたが、スキャンツールを挙げた参加者もいました。システムやソフトウェアのバージョンのインベントリを追跡するよう設計されたパイプラインやツールの利用をお勧めします。

イミュータブルインフラストラクチャと自動展開

昨日の多くの参加者にとって、「イミュータブルインフラストラクチャ」は、馴染みのある概念だったようです。「イミュータブル」とは、1 度作成されたら変更できないものという意味であり、ソフトウェア開発におけるイミュータブルオブジェクトの概念に由来します。マイクロサービスシステムのアーキテクチャを参考にし、システムを変更する必要がある場合は、システム全体を展開し直して、古いバージョンをシャットダウンします。そして、すべての変更がソース管理システムと自動プロセスから実行されるようにします。

標準構成とベストプラクティス

いくつかの組織から、セキュアな構成やセキュリティのベストプラクティスに関する推奨事項が提供されています。たとえば、CIS ベンチマーク、NIST、クリティカルセキュリティコントロール、OWASP Top Ten など(いずれも英文)が有名ですが、セキュリティ関連の組織や個人からもさまざまなトピックに関する要点解説やテンプレートなどが公開されています。

情報やアイデアの共有

昨日の CTO クラブでのプレゼンテーションは、私にとって大変貴重な経験でした。説明の機会をいただいただけでなく、参加された方々から多くを学ぶことができたことで、セキュリティ専門家、ビジネスオーナー、組織にとって、情報の共有が、サイバー犯罪の対策に取り組む最良の方法の 1 つであることを再認識しました。— Teri Radichel（@teriradichel）