講演レポート:第99回 クラウドサービス利用の裏に潜む新たなセキュリティリスクとは|Prowise Business Forum|株式会社日立ソリューションズ

株式会社 日立ソリューションズ

Prowise Business Forum in TOKYO 第99回

クラウドサービス利用の裏に潜む新たなセキュリティリスクとは
~「利便性」と「セキュリティ」は共存できるか!?~

 2019年9月10日、日立ソリューションズ本社にて、Prowise Business Forum in TOKYO 第99回が開催され、多くのご来場者にお集まりいただき盛況のうちに終了しました。今回は基調講演に、サイバーセキュリティの専門家で、政府機関の情報セキュリティ対策専門官も務める株式会社サイントの岩井氏にご登壇いただき、クラウドサービスにおけるセキュリティ対策の必要性とそれに関連したインシデント事例について解説いただきました。
 また、日立ソリューションズからは、IDaaS (Identity as a Service;アイダース)とそのリーダー的存在である「Okta」(オクタ)のベネフィットをご紹介するとともに、近年注目されているCASB(Cloud Access Security Broker;キャスビー)の必要性と日立ソリューションズが提供する「Bitglass」(ビットグラス)の利用価値について解説いたしました。

開催概要

日時 2019年9月10日(火)14:00~16:35(13:30受付開始)
会場 〒140-0002 東京都品川区東品川4-12-7
日立ソリューションズタワーA 4F 講堂
主催 株式会社日立ソリューションズ

【基調講演】
脅威グループの手口から見るクラウドセキュリティ対策の勘所

岩井 博樹氏
株式会社サイント
代表取締役 岩井 博樹氏
【講師プロフィール】

2000年より株式会社ラックで、セキュリティ運用やデジタル・フォレンジックなどの業務に従事し、多くのサイバー攻撃に関するインシデントに対応する。2013年からはデロイト トーマツで技術コンサルティングを行う傍ら、脅威インテリジェンスの分析を行う。2018年にサイントを設立し、代表取締役に就任する。近著では「動かして学ぶセキュリティ入門講座」がある。対外活動として、政府機関の情報セキュリティ対策専門官、情報セキュリティアドバイザー、情報セキュリティ大学院大学客員研究員、慶應義塾大学大学院非常勤講師などを務める。

 基調講演では、最近の日本への標的型サイバー攻撃動向や、クラウドへの攻撃傾向、攻撃ループを意識した対策などについて解説した。

クラウドサービスを攻撃用サーバーとして悪用する攻撃事例が急増

 冒頭で、岩井氏は、最近の日本へのサイバー攻撃動向について紹介した。サイント社が観測したサイバー攻撃動向では、日本の電機、製造、IT、研究・開発、重工業、商社、化学などの企業が狙われる傾向にあるという。

 また、近年のサイバー攻撃にはいくつかの重要なキーワードがあるという。1つ目は「PowerShell」(Windows管理用のCLIツール)。マルウェアは実行ファイルからPowerShellを活用した攻撃に遷移している。2つ目は「クラウドサービス」。クラウド上の不適切な設定のサーバーが標的となる傾向にある。3つ目は「SMB(Server Message Block)/RDB(Remote Desktop Protocol)」。組織内の脅威の検出は侵入後の横展開の挙動を捉えるのがポイントとなる。

 中でも、Google Cloud Platform(GCP)やAmazon Web Services(AWS)、Microsoft AzureなどのパブリッククラウドサービスをC2(Command and Control)サーバーとして悪用する攻撃事例が増えている。サイント社ではこれらの攻撃が2017年から継続して実施されていることをログなどで確認していたという。「社内で被害が見つからなくても、一度クラウドサービスやPowerShell、タスクスケジューラの悪用を疑ってみてはいかがでしょうか」と岩井氏は提案する。

サプライチェーン攻撃に対しては正常性バイアスが禁物

 次に、岩井氏は、セキュリティベンダーへのメールを使った攻撃事例を紹介した。1つ目の事例は、大手SIerのメールサーバーを乗っ取り、その大手SIerを装って認証ソリューションを提供する台湾のセキュリティ企業へ標的型メール攻撃をおこなった。そこでは、コードサイニング証明書(デジタル署名用の電子証明書)や製品資料などを盗み攻撃に使われた。このケースでは正規のメールサーバが悪用されており、メール自体が本物と偽物の区別がつかないため、一般的な標的型メール攻撃対策(怪しいメールの見分け方)では見抜けないという課題があるという。

 続いて紹介したのは、サプライチェーン攻撃の事例だ。台湾の大手PCメーカーのノートPCにアップデートユーティリティを通じてマルウェアが配信されていた事件は、C2サーバーのドメインがアクティブだった2018年5月~10月におこなわれ、全世界で50万~100万台の端末にマルウェアが設置された。だが、本当の標的はマルウェアにハードウェアコーディングされた特定のMACアドレスを持つ約600台(ソフトウェアを開発している開発者のPC)だと判明した。注目すべきは、一部のEDR(Endpoint Detection and Response)製品を回避する仕組みを備えていたこと。攻撃者は、セキュリティ製品に非常に精通しており、ソフトウェア開発会社のコンパイルマシン上でマルウェアを作成していたことが判明した。

 サプライチェーン攻撃の脅威は、1)ネット経由でアップデートがおこなわれるため、侵入経路を塞ぐことが困難であること、2)メーカーの開発環境でマルウェアが混入しているため、正常の扱いを受けてしまうこと、3)ソフトウェアが不審な挙動を把握しても、仕様上の問題であると判断してしまうことなどにあるという。岩井氏は「少しでも挙動がおかしいと思ったら、過小評価せず、組織としてストップをかけることが重要です」と正常性バイアスへの備えを警鐘する。

PowerShellの安全対策やクラウドのセキュリティチェックは最優先課題

 後半は、標的がクラウドへ遷移している実態を紹介した。岩井氏は、クラウドが悪用される原因は主に3パターンあるという。第1に利用者の不備。サーバーの設定不備や脆弱性への未対応など。第2にサービス提供者の不備。運用環境のセキュリティ対策不備や運用担当者への侵害など。第3に第三者の利用。親族など第三者にサービスの契約を依頼するケースなどだ。

 その具体例として、日本の大手製造業の全従業員情報やMACアドレスなどを含むクラウド上のデータベースが、認証やアクセス制御なしにインターネット上に公開されていたケースを取り上げた。原因は、Webブラウザからデータベースへアクセスする際のサービスポートを開けたままにした設定不備によるもの。こうしたクラウドサービスの設定不備により標的とされたデータ流出事案は世界中で発生しており、今年7月には海外のスマート家電メーカーから20億件ものデータが流出したことが報じられ、大きな話題となった。
「特にIaaS(Infrastructure as a Service)を利用する際には、セキュリティモジュールを必ず活用したり、二要素認証を併用したりするなど最低限の設定はすべきでしょう」と岩井氏は述べる。

 終盤に、岩井氏は、攻撃ループを意識した対策について言及した。最近では、攻撃者が侵入する場合、必ずしも社内LANに潜むとは限らなくなっているという。情報を盗むだけではなく、繰り返し侵入できるよう、隠れ場所を探す傾向にある。岩井氏は、「クラウドの関連システムは永続的に隠れる場所になっています。クラウドを使った社内LANを構築する場合は、攻撃者は外側にいるのではなく、あくまでも社内LANの中に潜んでいることを前提にクラウドセキュリティを考えるべきです」と念を押す。

 2019年はサイバーキルチェーンが提唱されてから10周年。現在は、Cognitive Attack Loop(認知攻撃ループ)という考え方が主流となりつつある。偵察・潜入→維持・操作→実行・流出という目的が達成した後に、再び最初に戻り、延々と活動しつづけるのだが、問題はその期間で、十数年にも及ぶ攻撃もあるという。

 最後に、岩井氏は、「繰り返しますが、侵入経路のトレンドはサプライチェーンや取引先が主流となっており、PowerShellの安全対策やクラウドのセキュリティチェックは最優先課題です」と強調し、基調講演を終了した。

【日立ソリューションズセッション】
いま、クラウド時代の安全性と効率化を両立させるIDaaSのリーダー「Okta」を!
~“いつでも”、“誰でも”、“何とでも”を実現する、IDaaSのリーダー Okta概要&国内導入事例~

熊野 雅之
株式会社日立ソリューションズ
クラウドソリューション本部 ソリューション企画部
グループマネージャ 熊野 雅之

 日立ソリューションズセッション1では、IDaaS (Identity as a Service)のリーダーであるクラウド型ID管理・統合認証サービス「Okta」がもたらすベネフィットや、Oktaの国内導入事例などを紹介した。

ガートナー社Magic Quadrantのアクセス管理部門で5年連続リーダーのOkta

 熊野は「IDaaSはクラウドを利用する際の必須アイテムです」と語る。一昔前の認証基盤は、利用者が社内にいることが前提で、ID・パスワードが確認されれば、社員あるいは本人とされシステムを使うことができた。現在は、働き方改革やリモートワークなどで社外からアクセスするケースが増え、クラウドの利用も定着した。そのため、VPNで社内ネットワークに入り、認証基盤に社員であることを証明してから、クラウドへアクセする形となっている。「管理者は、VPN設備や認証基盤の運用維持、アクセスポリシーのメンテナンスなどで負担が少なくありません。また利用者もVPNを利用するためのID・パスワードや追加認証を複数回投入する必要があります」と熊野は課題を指摘する。

 運用管理者にとってこれら認証(セキュリティ)設備は、EoSL(End of Service Life;メーカーによるサポート/サービスの提供終了)に伴う定期的な更改や、新たな脅威への対策で運用維持の負荷が大きく、トラブルの原因にもなる。そのため、維持管理を含めてプロフェッショナルに任せることが主流になっている。それがIDaaSの考え方だという。

 IDaaSは個人をクラウドで特定し、最新のセキュリティ施策をしつつ、セキュアにシングルサインオン(SSO)を実現する。オンプレミスのセキュリティ維持やメンテナンスからも解放されるという面で、管理者、利用者双方へのメリットは大きいという。

 IDaaSがなかったら、運用管理者はクラウドサービスごとに、ユーザー登録・所属変更(権限変更)・昇進・退職のタイミングでメンテナンスが必要となる。IDaaSならば、利用者のライフサイクルに応じて一元的にメンテナンスし、それをクラウドサービス側に反映できるので、セキュリティの確保と運用工数の削減に貢献する。

 「クラウド型IDaaSのOktaは、ガートナー社のMagic Quadrant Report(マーケットで競合しているプレーヤー各社を相対的な位置付けで評価した独自のリサーチ)のアクセス管理部門で2015年から5年連続リーダーに選出されました。世界で6,550社以上の導入実績があり、日立グループも30万ユーザーの利用実績を持っています。日立ソリューションズは2018年9月にOktaの国内初のディストリビュータとなりました」と熊野は説明する。

 Oktaは、複数のデータソース(Active Directory、LDAP、CSV、クラウドHR、ワークフローなど)からユーザ情報をインポートした上で、それらの併用が可能で、データソースごとにフィルタ条件も指定できる。ユーザ情報を削除せずにデータソースを変更したり、Oktaからデータソースへ逆連携したりすることも可能だ。また、アプリケーション以外にもさまざまなサードパーティ製品とも提携しており、利用中の製品と簡単に連携できるのもポイントだ。

いつでも・誰でも・何とでも連携できるクラウドサービスのハブ

 続いて、熊野は、Oktaの活用事例を企業規模別に紹介した。100ユーザー以下の少規模企業の例では、いくつかのSaaSを利用する中でID・パスワードの1要素認証では不安なため、多要素認証を運用したかったが対応できずにいた。Oktaを活用し、認証ポリシーを集中管理することで、ID・パスワードに加えて追加認証(スマホ認証、メール、音声など)を取り入れることができ、SaaSにはSSOでアクセスが可能になった。

 1,000ユーザー程度の中規模企業の例では、導入予定のクラウドサービスの認証基盤を迅速に導入する必要があった。Oktaを選択したことで、最短1ヶ月ほどで導入が可能になったほか、他社とのコラボレーション用にOktaを追加導入することで、テナント間連携にも柔軟に対応したという。

 1万ユーザー以上の大規模企業の例では、オールクラウド化をめざす次世代グローバル認証基盤の構築に挑戦。複雑化した認証方式の整理や、クラウド利用を拡大し、グローバル運用の利用に耐えるOktaを選定した。その結果、利用中の複数のクラウドサービスへの個別認証や、Office 365専用の設備、グループ会社で活用する多数のドメインと、エージェントを経由してアカウントを同期し、社内外からクラウドサービスやOffice 365へ直接アクセスできるようになったという。

 最後に、熊野は、「Oktaはクラウドサービスのハブとして、いつでも、誰でも、何とでも連携できるので、クラウドサービスとの連携に課題をお持ちならぜひご検討ください」と問いかけ、セッションのまとめとした。

【日立ソリューションズセッション2】
働き方改革に求められるセキュリティ
~なぜCASBが必要か、Bitglassの提供する価値とは~

小俣 信司
株式会社日立ソリューションズ
セキュリティソリューション本部 先端セキュリティ開発部
グループマネージャ 小俣 信司

 日立ソリューションズセッション2では、クラウドセキュリティを取り巻く情勢や、CASB(Cloud Access Security Broker;企業がクラウドサービスを安全に利用するための可視化、細かなアクセス制御、ルールの設定と対処、データ保護などを実現する製品/サービス)の導入を加速化する要素、日立ソリューションズが提供する次世代CASB製品「Bitglass」の価値について紹介した。

クラウドに関するセキュリティ問題の多くはユーザーの操作に原因がある

 働き方改革の基本的な考え方とは、働く方々が、個々の事情に応じた多様で柔軟な働き方を、自分で選択できるようにするための改革である。時間と場所を選ばない働き方を実現するため、テレワークなどとセットで語られることが多い。しかし、小俣はそれに疑問を持ち、「テレワークよりもクラウドサービス、特にパブリッククラウドが重要なのではないかと考えるようになりました」と話す。

 だが、パブリッククラウドは、ユビキタス(いつでも・どこからでも)アクセスと、コラボレーション(さまざまなユーザーとデータを共有)によって、リフォーム(働き方改革)が実現する、という単純な話しではないと小俣はいう。パブリッククラウドサービスを利用する上で、不正な情報流出事件や、設定ミスによる情報漏えいなどが数多く報告されているからだ。

 「パブリッククラウドをはじめとするクラウドに関するセキュリティ問題の多くは、ユーザー側の操作に原因があるのです」と小俣は指摘する。ガートナー社も、“2023年までに主要なクラウドセキュリティ事故はユーザーの過失によるものになる”と予測するなど、クラウドセキュリティが正しく理解され、適切に利用されないと、クラウド利用の増加がより多くのセキュリティ問題に発展してしまうという。

 こうした状況を打開するために、CASBが登場した。一般的に、クラウドやモバイルはファイアウォールを通さずにデータをやりとりするため、これまでのセキュリティ制御の効果は限界を迎えつつある。小俣は、「パブリッククラウドで“できること”と、“やっていいこと”との間に大きなギャップがあるのです」と述べる。そのため、パブリッククラウドへの接し方には、それらのギャップを埋めて、自由に使って問題ない環境を仕組みで整備した上で、従業員に提供するアプローチが必要だという。

60万以上のアプリに対応し、シャドーITをゼロディで可視化するBitglass

 CASBとは、まさにそのギャップを埋める製品/サービスのこと。急速に利用が拡大しているクラウドサービスを保護し、企業の境界線の内外からサービス同士が直接つながることを支援する。その基本性能は、1)クラウドサービスの可視化、2)Sanctioned SaaS(組織が使用を許可したクラウドサービス)の保護、3)Unsanctioned SaaS(シャドーIT)の制御などがある。

 日立ソリューションズが2018年12月から販売を開始したBitglassは、ガートナー社のMagic Quadrant ReportのCASB部門でリーダー群の1社と位置付けられている。主な機能として、SaaSアプリケーションの可視化、SaaS/IaaSの保護、マルウェアの検知と対処、DLP(情報漏えい防止)、暗号化、シャドーIT管理、ユーザー制御、SSO/多要素認証などがある。

 「特に注目していただきたいのは、Tier1 SaaS(Salesforce.comやG SuiteなどのメジャーSaaS)ではない、Tier2~3 SaaSと呼ばれる中堅・マイナーなSaaSにも対応していることや、企業の管理対象外のデバイスからのSanctioned SaaSアクセスも管理することができる点です」と小俣は強調する。Bitglassは60万以上のアプリに対応し、複数の情報源からシャドーITをほぼリアルタイムのキャッチアップ(ゼロディ)で自動的に評価・可視化したり、あらゆるブラウザ上でSanctioned SaaSをエージェントレスでゼロディに保護したりすることも可能だという。

 Bitglassは、日本ではまだ知名度が低いが、世界で300社以上に導入されている。海外のある医療機関では、医療情報や個人情報の保護を目的にBitglassを導入し、全てのデバイスからエージェントレスでOffice 365やデジタルワークフローのServiceNowへのアクセス制御を迅速に展開したケースがある。また、詳細なDLPポリシーを定義することで、HIPAA(米国における医療保険の相互運用性と説明責任に関する法令)違反となる不正アクセスも防止しているという。

 さらに、日系のある大手機器メーカーでは、管理・非管理を問わず全てのデバイスからのSaaSアクセスにセキュリティ(アクセス制御とDLP)を適用するため、Bitglassを導入。アップロード/ダウンロード時はリアルタイムに、保存されたデータにはAPI経由でDLPを適用可能にしたほか、エージェントレスのモバイルセキュリティによりBYODにも対応した事例が報告されている。

 最後に、小俣は、「日立ソリューションズはBitglassの国内初のディストリビュータであり、クラウドサービスやクラウドセキュリティはもちろん、SaaSの知識や経験も豊富です。そのため、CASBをOktaなどと組み合わせて、最適な形で導入から運用までを提案できることが強みです」とアピールし、自身のセッションを締めくくった。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒140-0002 東京都品川区東品川4-12-6(日立ソリューションズタワーB)
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言