ジェイソン
「もはや、ハッカーの侵入を防ぎ続けることはできなくなっている」と、昨年、『WIRED Magazine』のマイク・ゴート氏が述べている。「侵入されたときに、ハッカーを確実に捕えられるようにすることに取り組むべきだ。」
確かにそうだ。ネットワークは、攻撃者を捕えるためだけでなく、彼らの戦術を検知するためにも油断なく監視されていなければならない。
しかし、いよいよハッカーが侵入しそうだと分かった場合、ハッカーによって最大限のダメージを与えられないようにするために、行うべきことはもっとたくさんあるのではないだろうか。
こうした戦略は「封じ込め(containment)」と呼ばれている。そして、当社のサイバーセキュリティアドバイザー、エルーカ・コイフヴネンによれば、このことは、おそらく企業が最も無視してしまいがちなサイバー防御の一面であるということだ。
予防、検出、復旧は、いずれもセキュリティ戦略の重要な局面である。しかし、これらの領域だけに重点を置いていると、不可避のヒューマンエラーをユーザが起こすことによって与える被害に、歯止めをかけることはできないかもしれない。
「あるユーザまたはシステムが行えることについて、また、どのようなデータにアクセスできるかについて境界や制限を設けておけば、どれほど能力の高い攻撃者に対しても同じ制限を課せることになる」とエルーカは述べる。
実際には、どういうことになるのだろう。
「ロンドンオフィスにあるノートPCは、東京オフィスにあるノートPCにアクセスできるべきでない」と彼は述べる。「ネットワークは、そのノートPCにそのようなアクセスを試みる機会さえも与えるべきでない。また、ついでに言えば、ロンドンオフィスにある別のノートPCにもアクセスできるべきでない。」
脅威が進化した昨今においては、サーバが自動的に接続を開始できるようにしておくべきでないというのも道理にかなっている。
「サーバは自分の仕事をするだけでよい。すなわち、着信を待機し、来たら対応するだけだ」とエルーカは述べる。
また、この原則は、マシンが持つアクセス権に制限を加えるというだけではない。
「管理者ユーザは、誰かのメールボックスにアクセスできるべきでないし、またその逆も同じだ」と彼は述べる。「管理者/ルートでのネットサーフィンは同じくらい不適切な行為である。」
便利のよいように設計していれば、侵入者にとっても便利がよくなっていることを忘れないでおいてほしい。
「ユーザ特権の制限が緩く、ネットワークトポロジーがフラットである場合、つまり、誰もが、ネットワークのどこかからでも、ネットワーク内にあるどの資産にもアクセスできるような環境は、最初の侵入の段階、持続性を確立する段階、そしてその後のデータの収集やデータの漏えいを助けてしまう重要な要素となることが多い。」
それでは、どのようにして封じ込めのプロセスを始めたらよいのか。
エルーカは「昔ながらのやり方」でやることから始めるとよいと言う。
「私は、残念なことに最近あまり用いられなくなった古い手法を勧める。すなわち、「職掌分散(separation of duty)」、「最小権限の原則(principle of least privilege)」、「ユーザアクセスの制限(limited user access)」である。これはつまり、ユーザおよびサービスアカウント、アプリケーション、およびシステムに与えられるアクセス許可およびアクセス権は必要最小限にしておき、完全に異なるタスクが、常に異なる認証情報および分離されたシステムを用いて実行されるべきであるということだ。」
このような考え方は、次の攻撃を受けた場合に被害を最小化することについて検討しているときにちょっと手を出してみようかというようなものではない。
「コンパートメント化は、エンドポイント保護が最大限に機能できるようにするために最初から準拠するべき設計原則である」とエルーカは述べる。
ヒューマンエラーや侵入の可能性が制限されることで、失敗を最小化できるというプラスの副作用も生じる。これはコアとなるタスクについても、それが外部システムおよびデータセットから切り離されているときでも同様である。
そろそろ「封じ込め」を、セキュリティ対策の中核に据えてみようという気持ちになってきただろうか。
エルーカによるウェビナーをご覧になれば、サイバーセキュリティの管理のためのアプローチ全体の中に、封じ込めがどのようにフィットするかがお分かりいただけるだろうと思う。
[画像提供、Terry Johnston(Flickr)]
カテゴリ