4月にセキュリティインシデントが急増するワケ：川口洋のセキュリティ・プライベート・アイズ（3）

　皆さん、こんにちは、川口です。前回までのコラムではSQLインジェクションという攻撃手法によるホームページの改ざん事件についてお話ししました。本原稿執筆時点でもこの攻撃は継続して行われていますので、引き続き注意してください。

「新環境のスタート」は狙われどき？

　この時期に内部ネットワーク（イントラネット）でのセキュリティインシデントが増加する傾向があることをご存じでしたか。この時期増えている理由はどうしてでしょう。

図1　2005〜2007年での内部ネットワークから発生するセキュリティインシデント件数の推移（JSOCデータより）

　内部ネットワークでのインシデントは以下のようなものがあります。

• ウイルス、ボットへの感染
• 許可されていないPtoPソフトの利用
• 許可されていない情報の持ち出し
• そのほか、許可されていないシステムの利用

　これらの内部からのインシデントは不注意、理解不足が原因となって発生します。特に4月になり、新しく入ってきた人は新しい環境に対応することで精いっぱいです。何らかの判断が必要になった場合、新しい組織のルールを把握していないと、以前に所属していた組織の感覚・癖で行動します。これが結果的に組織のセキュリティポリシーの違反となり、インシデントにつながっているようです。

　新人は、周りの環境すべてを新しく感じているため、パソコン利用時のわずかな変化を感じ取ることができない場合があります。パソコンが突然再起動したり、不自然に遅かったり、一瞬だけウィンドウが開いたりなどの挙動があったとしても気が付かないケースもあるようです。その結果、ウイルスやボットなどに感染していても発見、対応が遅くなってしまうことがあるのです。

　ウイルスやボットの感染事故は特にこの時期によく発生しています。主な原因は私物パソコンの持ち込みです。持ち込まれたパソコンがウイルスやボットに感染している場合もあり、そのパソコンから内部ネットワークのほかのパソコンに対して感染活動を行い、まん延してしまう事例も発生しています。セキュリティ状態に保たれている内部ネットワークであっても、持ち込まれた管理外のパソコンによって内側からそのセキュリティレベルが低下させられることがあるのです。

　これを例えていうならば、2007年に大流行したはしかのようなものです。いままで予防接種を受けていなかった集団にひとたびはしかの感染者が交じってしまうと、その組織の中で大流行してしまいます。最近の企業では私物パソコンの持ち込みは厳しく制限していますが、大学などの組織では私物パソコンの利用に関するルールが緩くなっているので、学術系機関の方は特に注意が必要です。

　PtoPソフトの利用がシステムの障害につながるケースもあります。あるネットワークで通信速度が著しく低下する問題が発生していました。その原因を調査したところ、あるユーザーがPtoPソフトでファイル交換を行っていました。PtoPソフトでやりとりされる大量の通信がネットワークの帯域を圧迫していたのです。同時にこの通信はIDS（侵入検知システム）にも大量に記録されていました。PtoPソフトの通信が長時間にわたって行われたため、ログがIDSのシステムのディスクを使いつくしてしまい、それ以降のログの記録が取れなくなる障害も発生しました。

　また、新人はソーシャルエンジニアリングのターゲットにもなる可能性があります。組織の情報を狙う悪意を持った人はシステム管理者を装って、IDやパスワードを聞き出そうとするかもしれません。システム管理者や管理職を名乗る人に対してはきちんと対応しないといけないという心理的な点を悪用するテクニックがあるのです。新人は組織のルールを把握していないために、安易に答えてしまう可能性があります。これは本人だけの責任ではなく、周りの人のフォローやセキュリティ教育なども重要です。

自分の新人時代を振り返って

　最近、私は新入社員研修の担当となっており、新入社員と接する機会が多くなっています。そこで、私がセキュリティアナリストになった2003年2月を振り返ってみました。

　アナリストチームに異動後、1カ月のトレーニングを経て、初めてお客さまのログを分析した日のことはいまでも鮮明に覚えています。当時はMicrosoft SQL Serverの脆弱性を狙って感染を拡大するSQL Slammerワームが猛威を振るった直後で、私がセキュリティアナリストを務めるセキュリティ監視センターJSOCにも緊張感が充満していました。

　JSOCは、お客さまのネットワークに設置されているファイアウォール、IDS、IPSのログをリアルタイムに収集しています。収集したログはセキュリティアナリストのパソコン画面に表示され、セキュリティアナリストの目で、その重要度を1件1件判断しています。この瞬間にわれわれの知識と経験を総動員して、セキュリティインシデントの分析をしているわけです。

　「われわれがお客さまのシステムで発生している脅威を発見できなければ、お客さまのシステムに大きな損害を発生させてしまう」

　と、私の判断がお客さまの運命を握っている仕事の重圧を感じました。分析トレーニングでも本番環境と同様のデータで分析を行っていましたが、いざお客さまのログを分析し、連絡するとなるとクリック1つの重みが違いました。セキュリティアナリストとしての初日は、われわれがしている仕事の重みを感じた衝撃的な1日でした。

セキュリティアナリストを育成するには

　セキュリティアナリストとしてデビューして5年。私のときは1カ月だったセキュリティアナリストになるためのトレーニングは、現在では約6カ月間実施するまでになりました。インターネットにまん延しているワームやボットの種類も多くなっており、5年前には注視していなかったWebアプリケーションへの攻撃やクライアントアプリケーションを狙った攻撃など、システムに対する脅威も変化しています。そして、2003年にまん延したBlasterワームやSlammerワームのような攻撃は件数こそ少なくなっているものの、現在も続いています。セキュリティアナリストには新しい攻撃手法の知識のみならず、古い脆弱性や攻撃手法に関する知識も求められます。そのため、セキュリティアナリストには、幅広い脅威への対応と、難解な新手法への探求が必要となってきているのです。

　2005年までは公開サーバが主な攻撃対象となっていましたが、現在ではユーザー組織内部の環境やこれら組織で作成しているカスタムアプリケーションも狙われています。セキュリティアナリストのトレーニング項目も2003年当時と同じ内容を利用しても、現在の脅威と脆弱性に対応することはできません。セキュリティアナリストのトレーニングは常に最新の脅威と脆弱性に対応したものでなければなりません。

　現在、セキュリティアナリストになるべくトレーニングを行っている新しいメンバーが私の隣に座っています。彼を一人前にするためのトレーニング項目を用意するのもセキュリティアナリストのリーダーとして重要な責務です。新しいセキュリティアナリストを育成するときには、自分以上のスペシャリストを育成したい思いで毎回頭を悩ませています。

• いまのセキュリティアナリストに求められる資質は？
• トレーニングする新人セキュリティアナリストの能力は？
• どの脅威を知っている必要があるか？
• どの脆弱性を知っている必要があるか？
• ファイアウォールやIDSなど、セキュリティ機器に関する知識があるか？

　これらのトレーニング項目は新しい脅威・脆弱性の出現とともに常にアップデートされています。JSOCのセキュリティアナリストのノウハウでもあるトレーニングマニュアルは150ページを超えています。セキュリティアナリストのトレーニングについてはまた別の回に触れることにします。

　個人としての能力だけではセキュリティアナリストは務まりません。JSOCの分析は24時間365日休むことなく提供する必要があり、セキュリティアナリストもチームで対応しています。個人としての能力に加えて、チームとしての連携が重要です。

　チーム内の連携を深めるため、毎月の定例ミーティングの後には飲み会が行われています。そして、今日もセキュリティアナリストは連携を強めるため、その日の分析に当たったメンバーと飲みに行くのでした。