標的型攻撃対策としてのアイデンティティの活用

IT・IT製品TOP > Key Conductors > 佐藤 栄治(セントリファイ コーポレーション日本支社) > 標的型攻撃対策としてのアイデンティティの活用
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

標的型攻撃対策としてのアイデンティティの活用

ネットワークセキュリティ 2016/09/01

 Centrify(セントリファイ)の佐藤と申します。

 みなさまはCentrifyという会社をご存じでしょうか?米国 カリフォルニア州 サンタクララの本社を置くID セキュリティ専門の会社です。特権IDソリューション、IDaaSソリューション(シングルサインオン)、 MacやiPhoneなどのデバイス管理ソリューションなど、IDに関するソリューションをご提供しており、2016年度のForrester WaveやGartner Magic QuadrantではLeaderのポジションを獲得している会社です。今後、IDセキュリティに関わる内容を寄稿させていただきたいと思います。よろしくお願いいたします。

 今回は、標的型攻撃の内部対策として、ID管理を積極活用すべき背景についてご説明いたします。

標的型攻撃とは

 目標となるターゲットを設定し、徹底的にそのターゲットを狙う攻撃です。「標的型攻撃」という攻撃手法はなく、なりすましメール、ドライブバイダウンロード、ゼロデイ攻撃、そしてソーシャルエンジニアリング(盗聴、通信傍受、SNSでの趣味嗜好の調査)などを利用して、個人情報、企業の機密情報、金融情報、ゲーム、ショッピングのポイント情報、国家機密、軍事情報、社会インフラ情報などさまざまな情報を狙います。

 攻撃者はまず、なりすましメールやドライブバイダウンロードで、クライアントPCにマルウェアをダウンロードさせ、C&Cサーバなどを経由して、そのPC経由で社内ネットワーク、システムに対してアクセスを行います。場合によってはバックドアを仕掛け、数カ月から1年近くかけて、目的のサーバを見つけ出し、情報を盗んでいきます。

認証情報がキー

 社内ネットワークに侵入できた攻撃者たちは、サーバにアクセスするために次は何を行うのか。それはID情報の入手です。多くの組織ではIDとパスワードが氾濫しており、ユーザーや管理者は、それを克服すべく、ID/Passの使いまわしやWebブラウザにアプリのID/Passを保存し、“なんちゃってSSO”を行ってしまいます(みなさまも心当たりございませんか?)。しかし、このような使い方は大変危険で、lsass.exeのダンプ解析やWebブラウザの解析で、簡単にIDとパスワードが入手できてしまいます。

 また、組織のユーザーは個人でも自宅でインターネットを利用しています。そして、ネット通販やソーシャルメディアなどでもさまざまなサービスでID、Password情報が存在しています。この個人利用IDもビジネスアカウントも同じ使い回しといったこともあるかもしれません。さらに悪いことにネット上のサービスでは連日、アカウント情報の大量流出が発生しています。ハッカーはこれらの情報を元に難なくサーバにアクセスし、目的の情報を入手しています。

 実際、Verizonが発行している2016年Data Breach Investigations Report によると、データ侵害事件の63%に、管理の甘いID情報や盗まれたパスワード情報が利用されてしまっていると報告しています。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

有効な対策とは

 標的型攻撃というとどうしても、ゲートウェイ設置型のサンドボックス製品に頼りがちですが、100%検知できるわけではありません。進入された際には、攻撃者の足を止める必要があります。さらに今、企業のアプリケーションリソースは、オンプレミス(社内)からクラウドに急速に移行しつつあります。クラウド基盤では従来の対策では防御できないシチューエーションが増えてきています。こういったことからもIDの適切な管理が標的型攻撃対策として重要な要素になってきたといえます。

■1.多要素認証(MFA)の活用

 IDパスワードの使い回しがある以上、IDとパスワードの組み合わせではもう対処できません。このため、プラスアルファの認証が求められます。

 システムへのログインやアプリケーション起動、特権昇格といったタイミングでMFAを利用者に要求することで「なりすまし」を排除します。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Centrify Server Suiteの場合、OAuth OTPや、モバイルデバイス認証、電話などさまざまな方法で本人確認を行うことが可能

■2.適切な権限の付与

 管理者は全員root権限やAdministrator権限が必要ではありません。職域に併せて必要な実行権限を与え(最小特権)、サーバへのアクセスコントロールをすることで、重要なシステムを防御することが可能です。

■3.監査

 重要なシステムに関しては、ログをとるだけでなく操作内容もレコーディングすることで、被害実態、手法の素早い把握、内部犯行の抑制効果が見込めます。

 Centrify Server Suiteの場合、操作ログと同時にマウス操作もビデオレコーディングし保存することが可能です。もちろん、操作ログとビデオはチャプターによってひも付いているため、検索して必要なビデオの部分を頭出しすることも可能です。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 このようなID管理を適切に行うことで、攻撃者の動きを封じ込めることが可能です。
 これらの対策は、全てのサーバ、アプリケーションに実施することは大変困難です。まず手始めに、重要なデータを保有しているサーバにだけ適用するといった部分的な対策でも十分に攻撃対策としては有効です。

 ウォールストリートジャーナルによると、リオではオリンピック開催期間中のサイバー攻撃は、ロンドンオリンピック時の1億6500万回の4倍に上ると予想されていました。オリンピックほどの経済効果をもたらすお祭りには、サーバ犯罪者も、そのおこぼれに預かろうと必死です。2020年の東京オリンピックを控えた日本も今から考えはじめる必要があるのではないでしょうか。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009216


IT・IT製品TOP > Key Conductors > 佐藤 栄治(セントリファイ コーポレーション日本支社) > 標的型攻撃対策としてのアイデンティティの活用

このページの先頭へ

キーマンズネットとは
2015年より米国 アイデンティティセキュリティベンダーの Centrify Corporationに入社し、シニアプリセールスエンジニアとして日本オフィス立ち上げ、クラウド製品のプロダクト・マネジメント、マーケティング戦略に注力。

ページトップへ