第3回サイバーハイジーン評価サービスで検出した脆弱性リスクの事例

2022-07-25

前回のコラム「サイバーハイジーン評価サービスのコンセプト」では、サイバーハイジーン評価におけるサイバーリスクの考え方を中心に解説しました。

本稿では、サイバーハイジーン評価サービスを実施した際によく見受けられる脆弱性リスクについて紹介したいと思います。脆弱性リスクの内容には技術的な要素が多く含まれ、専門的な知識が一定程度必要となります。そこで、これからサイバーハイジーンを検討される方々にとっても理解しやすいように、初歩的なリスク事例を「認証基盤」「仮想化基盤」「ネットワーク機器」といった機器種別ごとに紹介したいと思います。

認証基盤

近年では既存のサーバ上で動作させる認証基盤に加えて、クラウドサービス上の認証基盤を利用するケースが増えています。認証基盤は組織のアクセス管理を統括する機能を持っており、IT環境の利用者やシステムが増えるごとに増大するアカウント管理の負荷を軽減させたり、認証に関するセキュリティを向上させたりする上で欠かせないものです。そのため、もしサイバー攻撃により認証基盤が悪意のある外部の攻撃者に乗っ取られてしまうと、組織のネットワーク全体に特権をもってアクセスされてしまい、大きな被害に発展するリスクが考えられます。

認証基盤については、大抵の組織は十分な強度を持ったパスワードポリシーを設定し、アカウントを適切に管理するなど、しっかりとしたセキュリティ対策を実施しているものです。

しかし、例えば認証基盤を自社サーバで動作させている場合、当該基盤へのネットワーク経由でのアクセスに対する制限機能や、その際に用いられる認証プロトコルの堅牢化機能が適切に設定されていないケースが多く見受けられます。これらの機能は、アカウントとパスワードを画面から入力してログインするのではなく、特定の端末から遠隔地にある端末やサーバにネットワークを経由してログインを行う際に一般的に用いられているリモートデスクトップやセキュアシェル（以下、「ssh」）といった仕組みを通じて接続を制限し、また、その際にネットワークを介して通信されるアカウントやパスワードを保護します。しかし、これらの機能が適切に設定されていない場合、ネットワーク経由でのアクセスを行う際の脆弱性が悪用され、不正にアクセスされるリスク（図1のリスクポイント①）や、アカウントやパスワードが容易に盗まれ、不正アクセスに利用されるリスク（図1のリスクポイント②）が想定されます。

また、認証基盤をクラウドサービスで実現している場合は、該当基盤の管理コンソールへのアクセス制限が十分でないケースが散見されます。一般的にはクラウドサービス型の認証基盤はインターネットを介して接続する管理コンソール上でさまざまな設定を管理するため、クラウドサービス提供事業者もさまざまなセキュリティ機能を提供しています。例えば接続元IPアドレスの制限や多要素認証といった高度な認証機能の利用がこれらに該当しますが、こうした機能は、PwCが過去に評価を行ってきた中でも活用しきれていないことが多いのが実情です。例えば多要素認証であれば、ハイレベルな権限を持つ管理者アカウントに対しては設定がされていても、管理者には及ばないものの一定の権限を持つ運用者アカウントには設定がされていないというケースが見受けられます。これらの機能を適切に活用できていないため、本来権限を持たないユーザが管理コンソールにアクセスできてしまい、設定の改ざんなどにつながるリスク（図1のリスクポイント③、④）が想定されます。

仮想化基盤

近年は、組織のシステムには仮想化基盤が導入され、仮想マシンとして構築・管理されていることが一般的です。しかし、仮想環境（本稿では「仮想環境」には「マシン環境」も含む）のセキュリティ対策が施されているにもかかわらず、その基盤となる環境（以下、ハイパーバイザー）のセキュリティが十分でないケースが見受けられます。

多くの仮想化基盤は、ハイパーバイザーを用いて仮想環境を作成しています。ハイパーバイザーは仮想化環境を作り出すソフトウェアであり、多数のOS環境を仮想的に作り出せます。そして、このように作成された仮想環境同士、あるいは仮想環境とハイパーバイザーの間で共有フォルダを作成してデータをシェアする機能や、USBで接続されているデバイスを共同利用するための機能が用意されています。また、仮想マシンがインターネットや組織内のシステム・サーバ群と通信する際には、仮想化基盤のネットワークデバイスを利用しますが、仮想マシンの数だけ物理的にネットワークデバイスがあるわけではないため、仮想環境と同様に、ハイパーバイザーが仮想のネットワークデバイスを作成して利用します。この仮想ネットワークデバイスにも、通信の真正性の検証機能など、技術的な内部対策の堅牢性を向上させるためのさまざまな機能があります。

ただ、仮想化基盤においては、これらの機能が適切に設定されているケースは多くはありません。例えば攻撃者は内部ネットワークに侵入すると、さらなる攻撃を行うために通信内容を窃取するなどの情報収集を行いますが、その際に窃取された通信情報を攻撃者が悪用し、通信元情報を偽装して仮想化基盤への通信を行うことで不正アクセスにつながり、侵入範囲を拡大させてしまうリスクが想定されます（図2のリスクポイント①）。また、ユーザが利用する仮想環境が不正にアクセスされた際に共有フォルダが適切に制限されていないと、他の仮想環境の情報であるアカウントなどが窃取されてしまい、不正アクセス、情報漏洩などにつながるリスク（図2のリスクポイント②）も想定されます。

ネットワーク機器

ネットワーク機器はファイアウォールやUTMによるインターネットとの境界防御、スイッチ、ルーターによるネットワークセグメントの構築など、多様な用途で利用されており、組織のシステムを構成する上で重要な要素の1つとなっています。

しかし、PwCがこれらのネットワーク機器を評価する中で、ネットワークルーティング設定が十分でないケースが散見されます。

ネットワークルーティングとは、業務端末、システム、ネットワーク機器など、それぞれの間のデータ通信の経路を制御する機能です。例えば、業務端末から特定のシステムに対して通信を行う場合、端末・システム間に設置されているスイッチやルーターなどのネットワーク機器を経由して通信を行うのですが、その際に「どのような目的を持った通信であれば許可するか」「許可する場合にはどのような機器を経由させるか」といった制御を行うのがネットワークルーティング機能です。

この機能が十分に活用できていない例として、例えばシステム構成の変更が発生し、ルーティングテーブル設定の更新を行った際に、古い設定が削除されていなかったケースがありました。このケースでは、古い設定が残存していた結果として、想定していない経路から本来許可されていないインターネットへのアクセスが可能になっていました（図3のリスクポイント①）。

また、ネットワーク機器自体には強固なパスワードの設定やアカウント利用の制限など、セキュリティを考慮した設定が行われているにもかかわらず、それらの機器にアクセスする運用管理端末に対してセキュリティを考慮した端末の設定検討が行われていないケースもありました。このケースでは、脆弱なパスワード設定や、管理者権限に対する利用制限がされていないといった脆弱性リスクが残存しているケースが見受けられました。

社内からインターネットに接続するため、また業務システムやサーバへの通信を可能とする社内ネットワークを構築するために、会社にはネットワーク機器が多数設置されていることが一般的です。それらのネットワーク機器の設定を変更する際や、監視などの管理を行う際には、運用端末を介してアクセスし、実行することが多くなる思いますが、ネットワーク機器を管理する運用管理端末に対しても十分なセキュリティ管理が施されていないと、運用端末を起点としてネットワーク機器の設定が改ざんされてしまい、セキュリティレベルが低下してしまうリスク（図3のリスクポイント②）があります。その場合、最悪のケースとしては境界防御対策が無効化され、外部から容易に不正アクセスが行える状態になってしまうことも考えられます。

最後に

本稿では、「認証基盤」「仮想化基盤」「ネットワーク機器」という機種ごとに、サイバーハイジーン評価サービスを実施した際に多くの企業や組織で散見される脆弱性リスクのうち、初歩的な事例を紹介しました。ただし実際には、サイバーハイジーンで重要な観点となる、技術的な内部対策の堅牢性が十分に担保されていないことによる脆弱性リスクは、今回紹介した範囲にとどまらず、多岐にわたります。

また、以前のコラムでも「サイバーリスクは日々高度化・巧妙化するサイバーリスクへの対策に終わりはない」とお伝えしたように、「激しさを増すサイバー攻撃から組織を守ることは難しい」というシナリオに基づき、サイバーハイジーンを着実に実施していくことが重要となります。

今後さまざまな組織・企業にとってサイバーハイジーンの実行は不可欠と言えるでしょう。PwCはサイバーハイジーン評価サービスを通じて、組織における管理責任という観点から、優先的に実施すべき対策や、サイバーリスクに係るステークホルダーへの説明責任の果たし方などを提言し、クライアントが限られたリソースを活かしながら効果的・効率的にサイバーセキュリティ体制を構築・改善することを支援します。