最も一般的なITセキュリティのミス10選

暗号化されたファイルと身代金要求のテキストファイルが存在する場合、それは企業がサイバー攻撃の被害に遭ったことを明確に示しています。しかし、これは長い攻撃の連鎖の終着点にすぎません。加害者はしばしば数週間から数ヶ月にわたり、ネットワーク内を自由かつ気付かれずに移動します。ITフォレンジック分析によれば、多くの攻撃は、基本的かつ単純なセキュリティ対策によって暗号化前に阻止できたことが示されています。これら10の問題が、攻撃者にとって攻撃を容易にしています。

1. セキュリティ脆弱性の未修正

問題点： 近年、アプリケーションやオペレーティングシステムに繰り返しセキュリティ脆弱性が発見され、サイバー犯罪者に直接悪用されています。特にFortinet、Citrix、Microsoftのシステムを利用している企業は、この問題について語ることができるでしょう。多くの企業は、重大な脆弱性であっても迅速にパッチを適用していません。いわゆるゼロデイ脆弱性は特にリスクが高いです。これらの脆弱性は通常、メーカーも把握していないため、最初はパッチが存在しません。しかし、システムに脆弱性があるだけで直ちに侵害につながるわけではありません。

解決策： 異常の早期検知のための継続的な監視は、深刻な悪意ある活動を迅速に抑制するための良いアプローチです。加えて、責任者はパッチプロセスを確立し、資産管理をしっかり行うべきです。これにより、システム全体と各パッチの状況を把握できます。パッチ適用不可または古いシステムは、隔離して運用する必要があります。例えば、病院では技術的な理由で古いOSを使用した医療機器が多く使われています。これらはネットワークの他の部分と通信させてはならず、ましてやインターネットからアクセスできるようにしてはいけません。

2. ゲートウェイ：弱いパスワード

問題点： 弱いパスワードは、サイバー犯罪者が企業ネットワークにアクセスするのを繰り返し容易にしています。6文字のドメイン管理者パスワードや、2文字しかないローカル管理者パスワードは、攻撃者にとって障害になりません。安全なパスワードの要件は長らく広く知られているはずなのに、実際にはこの問題がしばしば軽視されていることは明らかです。

解決策： 脅威者のアクセスを難しくするためには、厳格なパスワードポリシーが必要です。BSI（ドイツ連邦情報セキュリティ庁）は安全なパスワードのヒントを提供しています。インターネット経由でアクセス可能なすべてのアクセスポイントには、多要素認証を追加で導入すべきです。特にVPNアクセスが該当します。ユーザー数が増えるほど、弱いパスワードや使い回しパスワードを使う人が現れる確率も高まります。制御が難しいユーザーグループの好例は、大学や高等教育機関です。

3. アカウント管理の不備

問題点： 攻撃グループは、ネットワーク内で少ない労力でより高いアクセス権を獲得することにしばしば成功します。よくある手法は、侵害されたローカル管理者アカウントを使って作業メモリからキャッシュされたパスワードハッシュを読み取ることです。ユーザーがログインするたびにパスワードハッシュがキャッシュされるため、ユーザーや管理者アカウント、サービスアカウントのログインすべてが対象となります。多くの場合、実際のパスワードを知らなくてもハッシュを使って他人としてログインできます。専門家はこれを「パス・ザ・ハッシュ」攻撃と呼びます。

管理者が利便性のためにドメイン固有の管理者権限で一般PCにログインすると、しばしばこの高権限のログイン情報がローカルにキャッシュされ、サイバー犯罪グループの手に簡単に渡ってしまいます。

解決策： このようなリスクを最小限に抑えるには、アカウントの分離が必要です。Microsoftはそのティアリングモデルで良い例を示しています。この考え方は、システムを複数のレベル（ティア）に分け、各レベルごとに別々の管理者アカウントを使うというものです。この方法により、下位レベルが侵害されても攻撃者が上位レベルのシステムにアクセスするのを防げます。結果として、インフラの機密部分へのアクセス権を簡単に拡張されることがなくなります。

4. ネットワーク分割？実施されていない！

問題点： 多くの企業はいまだに大規模なフラットネットワークを使用していたり、ネットワーク分割が移行部分の管理を伴って初めてセキュリティ効果を持つことを忘れています。そうでなければ、サイバー犯罪者がネットワーク全体に急速に拡散できても驚くべきことではありません。

解決策： よく設計されたネットワーク分割により、攻撃者にとって乗り越えがたい大きな障壁を設けることができます。企業はサーバーとクライアントネットワークを厳格に分離し、明示的に必要な接続のみを許可すべきです。同様に、OT（運用技術）とITの分離も重要です。たとえば、生産や制御システムは、純粋なオフィスネットワーク内に存在すべきではありません。地方公共団体など重要インフラを持つ企業は、アクセスができないようにしなければなりません。また、管理ネットワークのような「クイックウィン」も導入可能です。ここでは管理者アカウントのみがアクセスでき、各アカウントはVPNと二要素認証で保護されます。これにより、一般ユーザーの日常業務を妨げることなく高いセキュリティレベルを実現できます。

5. 不十分なバックアップ

問題点： データ損失に備えてバックアップがあるだけでは不十分です。復元できることも重要です。さらに、サイバー犯罪者はバックアップを探し出して削除または暗号化しようとします。これにより、企業に身代金支払いの圧力がかかります。

解決策： バックアップは常にネットワークやインターネットから切り離しておくべきです。つまり、Active Directoryに接続せず、別の隔離されたネットワークセグメントに保存し、ランサムウェア攻撃後も利用可能にしておく必要があります。バックアップサーバーが見つからない、またはアクセスできない場合、犯罪グループは攻撃を断念することもあります。これにより、彼らが要求を通すための交渉材料を失います。同時に、バックアップを探している間に企業側が攻撃を検知する時間も稼げます。

したがって、良いバックアップ戦略には、すべての情報の安全に保管されたオフラインコピーも含まれます。データバックアップのベストプラクティスとして「3-2-1原則」が有効です。この原則では、3つの別々のバックアップコピーを作成し、そのうち2つは異なるメディア（例：ハードディスクとLTOテープ）に保存し、1つはオフサイトに保管します。さらに、責任者はバックアップの機能性と復元を定期的にテストすべきです。

ちなみに、バックアップがパスワード保護されていても、そのパスワードが攻撃者によって暗号化されたパスワードマネージャーに保存されていた場合は、復元が困難になります。

6. 過重労働のITスタッフ

問題点： 多くの企業では、「IT」がユーザーサポートやプリンタードライバーのインストールからネットワーク管理まで、すべての業務を担当するのが当たり前になっています。さらにサーバー環境の保守やITセキュリティも含まれます。これらは他の業務と並行して行われ、最悪の場合は法的要件でもあります。そのため、根本的かつ戦略的な業務、例えばよく設計されたネットワークインフラの構築に必要な技術力や時間が不足しがちです。

解決策： 経験上、中規模企業では従業員の約5％がIT部門に従事すべきです。さらに、専任のITセキュリティ担当者が必要です。そうでなければ、日常業務の中でITセキュリティが軽視され、致命的な結果を招きます。競争力のある給与が人材確保の鍵となることも重要です。

7. 質の低いITサービスプロバイダー

問題点： 多くの企業は、技術者不足を補うためにIT業務の全部または一部を外部委託しています。しかし、サービスプロバイダーのスキルや専門知識の詳細に落とし穴があります。

解決策： 優れたITサービスプロバイダーは、自社に不足している専門知識でIT部門をサポートできます。しかし、ITセキュリティのサービスプロバイダー選定時にはいくつか注意点があります。選定時の重要な基準には、サービスレベル契約（SLA）やサービスプロバイダーの対応時間が含まれます。緊急時には時間が重要です。たとえば、Managed Extended Detection and Response（MXDR）サービスの一環として、1年365日24時間の監視をサービスプロバイダーと契約している場合、自社にも24時間対応できる担当者を指定すべきです。サービスプロバイダーが夜10時にセキュリティインシデントを報告しても、対応できる人がいなければ意味がありません。

さらに、ITインフラ全体を定期的にチェックするべきです。例えばペネトレーションテストを実施し、ITサービスプロバイダーが提供するインフラも対象に含めます。合同の緊急訓練は、ITセキュリティの能力を確認する手段となります。報告経路や緊急時のプロセスも、このようにして練習・検証できます。

8. セキュリティ監視の欠如

問題点： ほとんどのインシデントは、もっと早く検知して阻止できたはずです。しかし、導入されているセキュリティソリューションの通知が見落とされたり、無関係なメッセージの洪水に埋もれたり、専門知識不足で誤解されたりします。その結果、ITフォレンジック分析官は、明確な警告メッセージが（意図的または無意識に）無視されたり、誤解されたりしていることを繰り返し発見します。

解決策： このような事態を避けるには、ITセキュリティ専任の担当者を配置する必要があります。自社で対応できない場合は、セキュリティオペレーションセンターなどのマネージドセキュリティサービスの利用を検討すべきです。ただし、ここで重要なのは報告経路です。マネージドセキュリティソリューションを最大限に活用するには、円滑な報告プロセスが必要です。

9. 技術的負債 ― 古いシステムが侵入口に

問題点： 技術的負債は、しばしば人員不足の結果としても発生します。残念ながら、公共機関はこの典型例です。ここでは、著しく古いITインフラが繰り返し見受けられます。また、優先順位の誤りもこのような状況を招きます。

解決策： 責任者は新しいシステムやセキュリティ製品だけに目を向けるのではなく、技術的負債にも定期的に取り組むべきです。これは時間やリソースが不足しているときに最初に軽視されがちですが、サイバー犯罪者にとっては絶好の標的となります。

10. 緊急時のパニックモード

問題点： 重大なサイバー攻撃を発見した後、多くの企業はパニックに陥ります。従業員や経営陣は慌てて行動しますが、効果的な対策はほとんど行われません。重要な意思決定や作業が遅れ、被害が拡大します。この現象は親しみを込めて「首のないニワトリ状態」と呼ばれています。

解決策： インシデント対応チームの経験豊富な専門家が冷静さと秩序をもたらします。そうして初めて、全員が協力して問題を解決し、システムを復旧できます。緊急時対応計画は不可欠です。これは事前にオフラインで用意し、暗号化されたサーバー上でアクセス不能にならないようにしておく必要があります。この緊急時対応計画には、緊急時の責任範囲や手順が明確に規定されています。誰がどの決定を下すのか、誰が従業員・顧客・関係者に連絡するのか、誰が捜査当局と話すのか、などです。そうでなければ、責任範囲の議論に時間を浪費してしまいます。

もう一つのポイントは、システムの優先順位付けです。つまり、どのシステムを最初に確認し再起動する必要があるのか。インフラ復旧に必要なシステムはどれか。給与支払いや生産継続のために不可欠な業務システムはどれか、ということです。

もちろん、優れた社内対応サービスプロバイダーをスピードダイヤルに登録しておくのも有効です。BSI（ドイツ連邦情報セキュリティ庁）の認定サービスプロバイダーリストを一から電話して回るのでは時間がかかり、必ずしも最適なサービスプロバイダーにたどり着けるとは限りません。理想的には、責任者がすでに専門家と連絡を取り、インシデント対応リテイナー契約も結んでいるべきです。これにより、企業は自社の案件が即座に対応されるという安心感を得られます。

ランサムウェア攻撃からの防御

どの企業も「希望的観測」に頼るべきではありません。遅かれ早かれ、サイバー犯罪者は企業ネットワークに侵入してきます。しかし、上記10項目を守り実践すれば、攻撃の試みを早期に検知し、対策を講じるための多くの手段を手にできます。理想的には、これらの対策が十分に効果を発揮し、攻撃グループが早期に攻撃を断念するか、迅速に発見できるようになるでしょう。

Leonard Rapp はG DATA Advanced Analytics GmbHのセキュリティエンジニア、DFIRであり、インシデント対応、デジタルフォレンジックの調整、DFIRツールチェーン開発の調整を担当しています。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？