「アタックサーフェイス」とは何か?
hazuki氏(以下、hazuki):では、今度は2つ目のキーワードですね。こちらのほうがもしかしたらわかりやすいというか、イメージしやすいかもしれないです。
佐野健一氏(以下、佐野):そう思います。
hazuki:おそらく、「アタックサーフェイス」という単語のほうが、聞いたことがないよという方が多いんじゃないかなと思いますが、こちらを日本語にすると、「攻撃対象領域」という、またなんともかっこいいというか、すごそうな名前(笑)。
こちらのほうが解釈としてはシンプルかなと思います。サイバー攻撃を受ける可能性のある領域という言い方ができるかなと思います。
もう少しだけ細かく見ていきたいと思います。こちらはサイファーマさんのページからパクッてきました。
今回、“Webエンジニア向け”という表現をしていますが、特にアプリケーションセキュリティ、Webのセキュリティの世界では、このように定義されています。
データやコマンドが出入りする経路とか、あと、個人情報、ビジネスデータも含め、アプリケーションで行き来する重要データのすべてですね。そしてそれらの重要データを保護するためのコード。チェックサムとかアクセス監査とか、そういった重要情報などですね。
ちょっと1ページ戻りますが、サイバー攻撃を受ける可能性のある領域というところ。要は、攻撃として狙われるのはここですよという意味合いだと解釈してよろしいですかね? どうでしょう?
佐野:よいと思います。このアプリケーションセキュリティのところ、僕が書いたのを今思い出しました。
hazuki:そうなんですか(笑)。まさかの。
佐野:うちから取ってきていると思わず、「あぁ」と思って見ていたんですけど、確かこのブログでは、アプリケーションじゃないアタックサーフェイスについて語りたくて、アプリケーションセキュリティにおけるアタックサーフェイスはどんな意味だっけ? というのを、確か書いたと思います。
アプリケーションセキュリティについて、私はまったく知らないので、これもいろいろ調べて、わからないまま「アプリケーションセキュリティというのはこういうことだよ」と書いた記憶がありますね。
hazuki:すばらしいです。そして今、コメントで、すごくお詳しい方がいらっしゃいますね。「TenableさんのASMがありますね」というコメントがありますが、Tenableさんというのはセキュリティのベンダーさんの1つで、ASMというのが、Attack Surface Managementの略ですね。
佐野:そのまんまですね、「アタックサーフェイスを管理しろ」。これはTenableさんだけじゃなくて、けっこういろいろな会社が今、Attack Surface Managementをやっていると思います。
hazuki:そうなんですね。
佐野:そうですね。
hazuki:サイファーマもその1つというような立ち位置になりますか?
佐野:あぁ、そうです、そうです。そうだ、サイファーマもそうでした(笑)。
hazuki:(笑)。
佐野:Palantirさんとかでも、アタックサーフェイスをやっていますね。もちろん私たちサイファーマもやっています。
脅威インテリジェンスの分野はかなり広い
hazuki:ここでまた若干の脱線です。脅威インテリジェンスって、分野がかなり広い印象があります。サイファーマさんもそうなんですが、例えば脆弱性情報を収集したり管理するというのも、もちろんインテリジェンスの一種だと思いますし、攻撃対象領域(アタックサーフェイス)の管理、それからダークWebから情報収集をするのも脅威インテリジェンスの一種です。
それから不審なIP、マルウェアに関するハッシュ値など、そういったIoCを収集して取り込むのもインテリジェンスです。なんか、脅威インテリジェンスってやっていることが非常に多い感じがしますよね。
佐野:そうですね、多いですね。どれだけ情報を収集できるか。それらをどれだけ関連づけて分析するかというところなので、あらゆるジャンルの情報を収集するというのは確かにありますね。
hazuki:そうですよね。しかも、最初のほうのスライドに、Killnetが政府を攻撃したという話がありましたが、攻撃者側の動向を追いかけるとか、何を考えているのかを考えるというのも脅威インテリジェンスですし、カバー範囲が非常に広い分野になりますよね。
佐野:そうですね。言っちゃえば、社内の資産とか社内のログとかも脅威インテリジェンスの分析のデータの1つに入りますよね。
hazuki:そうですよね。
佐野:外部からだけではなく、内部の情報も入ってくる。だから、脅威インテリジェンスを自分たちでやるのは難しいという話になってくるんだと思うんですよね。
hazuki:そうですよね。アンテナを張らないといけない範囲が多すぎちゃう。
佐野:そうそう。そうですね。
hazuki:なかなか大変ですよね。
佐野:うんうん、大変だと思います。
hazuki:ありがとうございます。
脅威インテリジェンスで大事なのは「敵を知ること」「敵から見える自分を知ること」
hazuki:脅威インテリジェンスとアタックサーフェイスという2つのキーワードの解説をしました。脅威インテリジェンスというのは(これは)守るための情報。それから、アタックサーフェイスは、攻撃を受ける可能性がある、狙われるポイントといったところですかね。
次は、脅威インテリジェンスで得られる情報という話をしたいと思うのですが、こちらもサイファーマさんのサイトから勝手に引っ張ってきたものです。
佐野:(笑)。
hazuki:「敵を知る」、それから「敵から見える自分を知る」、この2つの視点が大事ですよというのは、非常にわかりやすい分類だなと個人的にすごく思っています。
佐野:ありがとうございます。
hazuki:敵から見た時に、自分の組織がどう見えているのか。どんな情報が漏れてしまっているのか。アタックサーフェイスはどこなのか。そういったような情報から攻撃者は何を狙っているのか、今どんな攻撃がはやっているのか。ターゲットになっている業界はどこなのか、どこの国が日本を狙っているのか、そういったような情報を知るのもインテリジェンスです。
佐野:攻撃者にとっておいしいところはどこなのかを知るのもインテリジェンスに入れていいんじゃないかな。
hazuki:実際、どうなんでしょう。事業会社のセキュリティ担当の方はこういった情報収集をどういった体制で収集したり分析されているんでしょうか? 1人ではなかなか大変そうなイメージがあります。
佐野:大変ですよ。脅威インテリジェンスのチームを持っているところももちろんあります。すごく力を入れているところだと、その情報を自分たちで収集して分析までして、レポートなり対応につなげるまでを人をかき集めて全部自社でやるところもあります。
そうじゃないところは、そんな高度なところまでいかなくても、例えばIPAとかJPCERTから得るものも、深さは違えどインテリジェンス情報として使ってもいいと思います。
だから、個人でやらなきゃいけないというところであれば、まずはそこから始めるとか。組織の規模だけではなく、会社の理解度の違いによってできる範囲が違うから、体制は一概には言えないかなと思いますね。
hazuki:そうですよね。まず、なんといっても自分の会社についてきちんと理解をするというフェーズが非常に大事ですよね。
佐野:うん、そう思います。
hazuki:「自社が持っている資産って何だっけ?」とか「ルールってどうなっているんだろう?」とか。それから場合によっては、「どんなポジションの人がいて、どんな情報が表に出ているんだろう?」という、人に関することもあったりとか。
佐野:そうです、そうです。
hazuki:SNSもそうですもんね。
佐野:そうですね。
言葉としての市民権を得た「脅威インテリジェンス」
hazuki:先ほど佐野さんにお話しいただいたように、例えば大きい組織で体力があるところだと、脅威インテリジェンス専属のチームがあって、それもけっこうな人数がいるところがあると思うんですけど、なかなかセキュリティに人を置けないよという会社もまだまだ多いんじゃないかなと……。
佐野:多いですし、それができるというのは、なかなかないと思います。アメリカの安全保障の長官かなんかが、「脅威インテリジェンスを内部でやるのをやめなさい」と。「外の専門家を使うべきだ」みたいなことをなんか……度忘れしちゃいましたが、国務長官かどなたかが言っていたりしましたね。
hazuki:そうですよね。自分たちだとちょっと難しいですよね。
佐野:そんなことができる人は少ないじゃないですか。それを自分たちの企業を守るためだけに囲い込んだりするのはやめてという意味合いもあるんじゃないかなと思っています。
hazuki:そのほう(外の専門家に頼ったほう)が効率もいい感じがしますしね。
佐野:外に任せれば守れる範囲も広がりますし。
hazuki:「第三者視点の客観性が大事、プロを信じて」。大事ですよね。
そして、ちょうど最近……最近と言いつつ数ヶ月前だと思いますが、確かISOの27000が更新されて。
佐野:そうですね。
hazuki:そうですよね。2022年版ですかね。確かその中の1つに「脅威インテリジェンスをやりなさいよ」というような新しい項目が追加されていたような。
佐野:そうですね。確か対策例のところに入りましたよね。
hazuki:そうですよね。
佐野:必須というわけじゃないんですが、脅威インテリジェンスという言葉がそこに入ったというのは、かなりの驚きというか。
hazuki:そうですよね、インパクトがあったというか。「あっ、脅威インテリジェンスが入ったぞ」って。
佐野:はい。思いました。
hazuki:そうですよね。
佐野:なんか、ISMSに入っちゃえば、言葉としての市民権を得るというか。
hazuki:いい表現ですね、言葉としての市民権(笑)。確かにそうですよね。「セキュリティに力を入れている会社だけがやっていればいいんじゃない?」というわけじゃなくて。
佐野:そうです、そうです。ISMSになると、セキュリティ担当やエンジニア系の方だけではなく、総務の方とか、普通の人たちが関わったりするじゃないですか。「脅威インテリジェンス」というワードがそういう方々の目に触れる機会ができるので、また1つ前に進んだかなと(思います)。
hazuki:そうですよね。脅威インテリジェンスは、自組織の強化のための大事な分野ですもんね。ありがとうございます。
ハッカーから身を守るためには何をすべきなのか?
hazuki:これまで「脅威インテリジェンスとは」というお話とか、特に今回はWebエンジニアというポジションに特化したお話をしてきました。「じゃあ結論、何をしないといけないんですか?」それから、「何ができるんですか?」といったところを最後に軽くまとめていきたいと思います。
まずは、さっそく出てきましたが、「自組織のアタックサーフェイスに何があるのかをしっかり理解してください」というのがなによりも大事ですよね。
佐野:大事ですね。
hazuki:情報収集するのももちろん大事ですが、情報収集していく上で、「自分たちはこんな資産を持っていてこんな露出があるから、こういう情報が必要だよね」という逆算の考え方も必要になりますよね。
佐野:必要です。
hazuki:その上で、じゃあどんなニュースを日々収集しないといけないのか。会社の業界によっては、国の動きをしっかり追わないといけない、特定の国の動きを追わないといけないなど、もういろいろありますよね。
Webエンジニアの方といっても、その中でもポジションがあると思いますし、Webだけじゃなくてインフラなどほかの部門の方との連携を密に行っているポジションの方もいると思います。
入り口や狙われるポイントがWebであったとしても、攻撃された後はどうなっているんだろうとか。今どんな対策がされていて、こんなことが起きた時にどうなっちゃうんだろうと、先のことまでしっかり考える。
もちろん、誰が何をやらないといけないとか、インシデントがあった時のフローがどうだとか、取り決めは会社によって違うと思いますが、このあたりはどうでしょう?
佐野:影響範囲ですよね。一つひとつ単体で見ていくと見えないので、どこまで影響が広がるのか、最大の影響は何かというのを……このBCPや危機管理でやっているのと同じで、地震が起きたら何がとかと同じだと思います。
hazuki:そうですよね。考え方としては非常に似ていますよね。地震が起きたらどうするんだとか、サイバー攻撃があったらどうするんだ、ウイルスに感染したらどうするんだということですよね。
(コメントを見て)「Webエンジニアだけじゃなくて大事ですね」。はい、本当に、おっしゃるとおりです。
セキュリティは投資である
hazuki:それから、特にこのあたりって、現場だけの判断だとなかなか動けないことも大いにありますよね。
佐野:ありますね。
hazuki:(コメントを見て)「経営者に理解してもらわないといけない……ってコト!?」。『ちいかわ』ですかね?
佐野:そうそう。そのコメントがまさにそのとおりだと思います。
hazuki:超大事ですよね。
佐野:hazukiさんがお付き合いされている方々の中でも、現場の方々はがんばろうと思っているけど、「上が」って言う方は多くないですか?
hazuki:本当、そうですよね。脅威インテリジェンスうんぬんというよりは「セキュリティの対策って費用対効果が……」という話が前からあるとは思うんですけど。
佐野:そうですね。運用系と同じに考えればいいかなと思うんですけど、例えばWebの運用をされている方々って、「何も起きなかったら褒められる」ではないじゃないですか。
hazuki:そうですよね。
佐野:セキュリティも同じで、何も起きなかったら褒められない。「何も起きていないなら、予算削減しようぜ」いやいや(笑)。無理解ですよね。
hazuki:そうですよね。(コメントを見て)泣き顔スタンプが大量に来ましたけど。
佐野:大量ですね(笑)。
hazuki:みなさま、同じ気持ちでしょうかね(笑)?
そうですよね。特に、私なんかはまだ若造なので、このあたりがまだしっかりと理解ができていないところがあるんですけど。上の方をきちんと説得して、予算を確保するためのお話作りというんですかね、戦略を自社で練るのは、かなり骨が折れるところなんじゃないかなと想像しています。
佐野:そうですね、(骨が)折れると思います。一応国もがんばっているんですけどね。「セキュリティの投資」とコメントをいただいていますが、まさにそのとおりで、サイバーセキュリティ系ガイドラインを、何年も前に経産省が出してくれているんです。経営層がコストじゃなく投資として考えて、「経営者の責任においてセキュリティをやるべきだ」と啓蒙活動をしているんですけどね、なかなか……。一気に切り替わるということはないので、徐々にやっていくしかないんですけど。
hazuki:そうですよね、少しずつ。
佐野:まさに、「セキュリティは投資」ですね。
hazuki:なるほど、セキュリティは投資。ありがとうございます。
(次回へつづく)