システムを「適切に」利用すれば安心だが・・・

(参考)セキュリティウィーク41:検閲を受けた研究、OWAのハッキング、契約者情報の漏洩(Kapersky)

カスペルスキーブログによると、「Outlook Web Appを侵入口として企業インフラへ」という興味深い記事を掲載されていました。

私の感覚では、標的型攻撃を始め、予測のつかない外的脅威から、オンプレ(オンプレミス・社内設置型)からクラウド(例えば、Office365等)に移行しているため、技術的な脆弱性(欠陥)からではなく、人的による設定(管理)ミスによる侵入されてくるケースが高いのでは?と考えている。

カスペルスキーブログでは、個別に解決しなければならない問題について、

● あるサービスは、インターネットとイントラネットの両方にアクセスするよう設計されている。
IT担当者側のセキュリティが甘い(ログインIDとパスワードは、この担当者から盗まれたもので、一般社員のものではない)。
● バックドアを簡単にインストールできるような欠陥が、サーバー構成に存在する。
長期間、不正アクセスを検知できない。

と記載されている。当ブログでは、この赤字の2点について着目していきたい。IT管理者側のセキュリティが甘い。これは、確かに言える。複数のサーバを管理に当たって、結局のところ、部員にも管理してもらうことになるため、結果的にセキュリティが甘くなってしまう。一方で、パスワードを頻繁に変更していれば、サーバ同士でまれに整合性が取れなくなる恐れがあるため、なかなか更新しにくいところにもある。まして、ローカルAdministratorパスワードなんて、本稼働時に変更したっきり、変更とかしていないのでは?と疑ってしまう。そのため、パスワードが漏れた場合は、次々と侵入が容易ではないだろうか。AD (Active Directory)でユーザを制御しているにせよ、やはりローカルユーザは存在するわけで。

サーバー構成に欠陥、これは、システムを乗せた以上、例えばサーバーのupdateはなかなか難しいところ。ゆえに、脆弱性だらけになりうる気がする。アップデートが公開されてから、ソフトウエアベンダーが安全性が取れてからアップデートができるわけで、タイムラグがどうしても発生する。まして、ローカルネットワーク(インターネットが利用できない社内だけで利用するネットワーク)だけで利用する場合は、なかなかアップデートはしない。更に、IT部門以外が管理しているサーバなんてなおさらだ。システムが動いていれば安泰だ。

そういった脆弱性が潜んでいれば、不正アクセスが発生したとしても分からない。

(参考)変化する攻撃手口を分析の組み合わせで検知!(マクニカネットワークス)

そもそも不正アクセスされているか、気付かない。気付いたところで、情報が持ち出されているに違いない。マクニカネットワークスブログでは、「Splunkで1時間毎に各ユーザのエラー回数を算出し、閾値(例えば20エラー)を超えているユーザがいないかを監視することで、検知、被害状況の確認、対策等を効果的に行うことができる」と記載されている。

(参考)セキュリティインシデント対応の決め手は時間と正確さ ログ活用基盤を装備せよ!(ITmedia)

「APT(Advanced Persistent Threat=高度で執拗な脅威)や不正ログインに代表される現在のセキュリティの脅威は社会問題にもなり、企業では情報漏えいなどのインシデントが疑われる事態が発覚すると、正確な事実を速やかに公表しなければならない状況だ。事実を速やか把握するには、まず自社のIT環境でいったい何が起きていたのかを知らなければならならない。」と記載されているものの、ログ活用で、いかに短時間で不正アクセスを検知させるかが鍵だ。

(参考)Outlook Web Access (OWA) に新規のセキュリティ脆弱性が存在しないことを確認(Office365コミュニティ)

Microsoftでは「Exchange Server が適切に展開されセキュリティ保護されている場合には、これらの投稿で言及されている攻撃の影響を受けることはないと判断」という記載がある通り、結果的に『適切に』処理されていれば、安全ということだ。ヒューマンエラーは最大の脆弱性であり、こればっかりは、防ぎようのない欠陥かもしれない。クラウドのOffice365のセキュリティは、こちらを参考に。Microsoftだからこそできる最高のおもてなしだ。

 

総括していくと、システムそのものを適切に利用すれば安全だ!ということだ。また、OWAも「適切」に利用すれば、安心だ、ということだ。そして、splunkは何か良さそうだ、ということだ。