クラウドサービス全盛期にシステム担当が考えるべきセキュリティ対策

現在、AWS（Amazon Web Service）、Microsoft Azure、GCP（Google Cloud Platform）といった代表的なクラウド上のインフラストラクチャサービスからドロップボックス、ワンドライブ、グーグルドライブ、アイクラウドドライブといったクラウドストレージなど多くの企業でクラウドサービスが利用されていると思います。

また、スラックやチャットワークといったクラウド型のコミュニケーションサービスやセキュリティ製品に目を向けてみても、クラウド型のサンドボックス製品やウェブアプリケーションをSQL インジェクション＊1、LFI（ローカルファイルインクルード）＊2、XSS（クロスサイトスクリプティング）＊3などの攻撃から守るウェブアプリケーション・ファイアウォール（WAF）も多くのクラウド型のウェブアプリケーション・ファイアウォール（WAF）が存在しています。

このように毎日の仕事をしていく上で、多くのクラウドサービスを使用していることに改めて気付かされます。

ここまでクラウドサービスが普及した理由のひとつに、システムを構築し運用する際に、サーバーなどの資産を持つ必要や、アプリケーションなどを自社で開発する必要がなく、初期導入コストが安いというのがあります。

また、クラウドの最大の特徴として、インターネットが使える環境であればどこにいてもサービスを利用できるという点が、導入したリモートワークなど新しい働き方との親和性が高かったからと言えるのではないでしょうか。

一方で、インターネットが使える環境であればどこにいても使えるというメリットは、裏を返せば悪意のある第三者に対してサイバー攻撃及びサイバー犯罪に対して機会を与えることに他なりません。

また、企業・組織側が把握せずに、シャドーIT＊4といったポイントでクラウドサービス利用時におけるセキュリティの注意ポイントを検討、対策する必要があります。

＊4: エンドユーザまたは部門が業務に利用しているデバイスやクラウドサービスなどのIT技術のこと

クラウドサービスを利用する上で重要なセキュリティの注意すべきポイントはいくつかありますが、ここでは不正アクセス対策について説明したいと思います。

クラウドの利便性でもある「どこからでもサービスを利用できる」ということは攻撃者からしても同様にどこからでも攻撃可能であることを意味しています。

今年に入って私がデジタルフォレンジックをしたケースの中には、お客様のGmailアカウントに海外からログインされ数百通の迷惑メールを送信してしまったという事例がありました。このような事例は決して特別なケースではなく、誰にでも起こり得るケースです。

では、なぜこのように不正アクセスが行われるのでしょうか。不正アクセスにはいくつか手法がありますが、ここではID・パスワードに関連する不正アクセスについていくつか説明していきます。

辞書や人名録などのリストに載っているような既存の単語や、それらの組み合わせを用いる辞書攻撃や可能な組み合わせを全て試す、総当たり攻撃（ブルートフォース攻撃）などを用いてパスワードを調べる手法があります。

このような攻撃が行われると大量のログイン失敗履歴が記録され、一般的なクラウドサービスですと一定数のログイン失敗が記録されるとアカウントがロックアウトされるでしょう。

また、リスト型攻撃を呼ばれる手法を使った不正アクセスもあります。有名な複数のECサイトがリスト型攻撃による不正アクセスを受けたと報道されたことから、名前を聞いたことがある方もいるかもしれません。

このリスト型攻撃とは、悪意のある第三者が他のECサイトをハッキングしたり、ダークウェブなどから購入したりと、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してウェブサイトにアクセスを試み、利用者のアカウントで不正にログインする攻撃です。

では、このような不正アクセスに対応するために利用者側はどのような点に注意すべきでしょうか。それは、サービス毎に異なるID・パスワードを設定するよう利用者に注意するといいと思います。これによって、万が一あるサービスのデータベースが情報漏洩しID・パスワードが流出しても他のサービスへの不正アクセスを防ぐことができます。

続いて、多要素認証の導入し、ID・パスワード以外の認証要素(「ユーザだけが所有している何か」や「ユーザ自身の特性（指紋など）」)を追加します。多くのクラウドサービスでは多要素認証機能がありますので、これらを有効にすることによって例えID・パスワードが盗まれても簡単にアクセスすることを防ぐことができます。

自組織で使用しているクラウドサービスを洗い出して、多要素認証が有効になっているか確認してみてください。なっていない場合は有効にする、多要素認証機能が無い場合は、他のサービスへの移行を検討するといった対策をしていく必要があります。

企業における今後のサイバーセキュリティ対策において重要なことの一つに、企業自身がサイバー攻撃の一連の流れを戦略だけではなく（ときにはコマンドレベルで）攻撃手法を知り、自社が導入しているセキュリティ製品やサービスの効果を正しく評価していく必要があるのではないでしょうか。

仮に、企業自身がその組織能力を持ち合わせていないと、多種多様なセキュリティ製品が販売されている中、メーカーからの情報を鵜呑みにしてしまい、結局は同じような製品に乗り換えてしまったということが起こりえます。どれも同じに思えて価格だけで選択してしまったということにもなりかねません。

先日、ある企業のEDR（エンドポイント・ディテクション・アンド・レスポンス）の評価プロジェクトに参加したのですが、私が参加する前のプロジェクトでは、評価対象のEDRをインストールしたコンピュータに誰でもインターネットから入手可能なマルウェアを実行し、その際の検知状況を確認するといったものでした。

なお、EDRとウイルス対策ソフトの違いについて正しく理解していない方もいるかもしれませんので補足しておきますと両者の違いは検知技術の違いというよりも、不正プログラムなどが起因するサイバー攻撃の一連の流れの中でどこにフォーカスして検知するように開発されたかの違いによるものです。

具体的には、ウイルス対策ソフトの目的は主に不正プログラムの感染防止といったサイバー攻撃のシナリオの中では、初期段階にフォーカスしています。一方で、EDR の目的は主に不正プログラムに感染することを前提にサイバー攻撃のシナリオにおいて侵入してからの検知とその名が示す通り対応にフォーカスしています。

したがって、どちらが必要かといった話ではなく侵入を前提としてサイバー攻撃対策を行うことが必要となった今、ウイルス対策ソフトとEDRは互いに補完し合うものになるのです。

話は戻り、これまでの評価方法では、正しくEDR製品のEDR機能を検証できるはずもなく、新しい評価方法を検討実施しました。新しい評価方法では、仮想環境を準備し、そこに評価対象のEDRをインストールし、メタスプロイトやPowerShell Empireを使いいくつかの標的型攻撃を再現しました。

評価の軸には、脆弱性の識別番号である「CVE-ID」を管理していることでも知られているMITER（マイター）社が公開している「ATT&CK™（アタック）」に照らし合せ行いました。

例えば、「ATT&CK™（アタック）」の攻撃戦略の一つである「Initial Access」の「Spearphishing Attachment」「Spearphishing Link」といった主にウイルス対策ソフトがフォーカスしている標的型攻撃の発端になる標的型メールに添付されたファイルやリンクに検知にはあえてフォーカスしませんでした。

一方で、攻撃者が侵入後に実施する攻撃戦略である「Lateral Movement」（日本語では横展開、水平展開とも呼ばれる）の一つであるウィンドウズの管理共有を使った「Windows Admin Shares」といった主にEDRが得意とする侵入後の検知にフォーカスした検証を実施しました。

このように企業において正しいセキュリティ対策を実施するには、サイバー攻撃の理解（可能であればそれを再現できる組織能力）が必要です。どのように攻撃されるのを理解出来れば自ずと対策へのアイディアも出てくると思います。

もちろん、自社だけではそのようなことを実施するのが難しい場合もあるかと思いますので、セキュリティの専門家の活用を検討していただくこともお勧めします。