サイバーセキュリティの10大設定ミス「まずはここから確認しましょう」 サイバーセキュリティ対策実践講座 第2回
今回は、NSA(米国家安全保障局)とCISA(米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)が2023年10月に発表した「サイバーセキュリティの設定ミス トップ10に関する勧告」に対して、国際規格(ISO/IEC)であるISMS※や当協議会が発行しているガイドラインも参考にして、実際に何から対応するべきか、そのポイントについて解説します。
サイバー攻撃の現状として、政府機関や大企業だけを標的にしない、個人情報や重要情報の窃取などを目的とした無差別の「ばらまき型攻撃」が未だ主流になっています。業種や組織の規模に関係なく、職場でもテレワークを行う家庭でも、サイバー攻撃のリスクからご自身の端末を護るためにお役立ちいただければ幸いです。
※ISO/IEC 27001( JIS Q 27001)「ISMS(Information Security Management System・情報セキュリティマネジメントシステム)」
出典:サイバーセキュリティの設定ミス トップ10に関する勧告
NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
当勧告では、政府機関や民間企業で行われた脆弱性診断の結果や、サイバー攻撃発生となった原因に基づいて、実際に攻撃者から狙われやすいパラメータ設定のトップ10をまとめています。筆者訳となりますが、各タイトルに対して、組織として回避すべき状況に焦点を当てて要約してみました。
トップ10概要 | |||
1 | Default configurations of software and applications ソフトウェアとアプリケーションのデフォルト構成 | ソフトウェアおよびアプリケーション(システム、サービス、プリンター、Webカメラ、IoT機器なども含む)がデフォルト設定から変更されていない、導入・購入時の初期設定値(一般公開情報)のままとなっている | |
2 | Improper separation of user/administrator privilege ユーザー権限と管理者権限の不適切な分離 | ユーザー権限と管理者権限(administrator)が分離されておらず、管理や業務上の利便性の面から1アカウントに権限が集約している | |
3 | Insufficient internal network monitoring 内部ネットワークの監視が不十分 | ネットワークやクライアント端末(業務PC、スマートフォンなど)に対して、異常時の検知やログ取得(監視活動)が行われていない | |
4 | Lack of network segmentation ネットワークのセグメンテーションの欠如 | 重要システムを運用する生産環境やシステム開発環境などと一般的なオフィス環境をネットワーク上での分離(セグメンテーション)できていない | |
5 | Poor patch management 不十分なパッチ管理 | OSやネットワーク機器、ソフトウェアおよびアプリケーションのバージョンが最新化されていない、組織で把握できていない | |
6 | Bypass of system access controls システムアクセス制御のバイパス | アクセス制御に対する脆弱性対策(適宜アップデートや侵入テストなど)や認証機能に対して、不正アクセスされる可能性がないか、設定の見直しが行われていない | |
7 | Weak or misconfigured multifactor authentication (MFA) methods 多要素認証 (MFA) 方式が弱いか、構成が間違っている | 導入した多要素認証システム「知識情報(例:暗証番号、ワンタイムパスワードなど)」「所持情報(例:本人のスマホなどによるSMS認証やアプリ認証、証明書デバイストークン等)」「生体情報:指紋、顔認証など」の設定が適切に行われていない、誤って設定されている可能性に対して確認が行われていない | |
8 | Insufficient access control lists (ACLs) on network shares and services ネットワーク共有およびサービスに対するアクセス制御リスト (ACL) が不十分 | ファイヤーウォール機器のアクセス制御設定やサーバー、クラウドサービス上の共有フォルダの権限設定が適切に設定されていない(デフォルト値のまま、組織の全員が操作できるなど)、組織でアクセス制御の設定ポリシー(方針)が検討されていない | |
9 | Poor credential hygiene 認証情報の衛生状態が不十分 | 認証が数秒で解読できてしまう、数字や英単語だけの弱いパスワードの使用や、パスワード情報をテキストファイルやExcelなどに暗号化しないで保存している | |
10 | Unrestricted code execution 無制限のコード実行 | ホームページやExcel VBAなどを作成し、セキュリティ検証(脆弱性対策、セキュアコーディングなど)を行わずにネットワーク上に公開、または業務運用している |
※既知の脆弱性とは、IPAやセキュリティ専門機関から情報公開されている脆弱性を指す。メーカーなどから脆弱性に対応したアップデートプログラムが提供されることが一般的に多い。
セキュアIoTプラットフォーム協議会(以下:当協議会)、および筆者が実際にサイバー攻撃(ランサムウェア感染等)被害にあった企業や法人、自治体に対して、これまでに行った実調査でもトップ10同様の原因が多く占めています。自組織や自身の業務環境が該当していないか、チェックしてみましょう。
サイバー攻撃および個人情報漏洩の要因となる管理実態
ネットワーク
・許可なく、知らない間にネットワーク機器(ルーターやWi-Fiアクセスポイント、ハブ(Hub)など)が設置されている
・ファイヤーウォール機器が設置されていない
・ネットワーク機器やファイヤーウォール機器のパラメータ設定が購入時のデフォルト値(初期値)から変更されていない
・機器本体のラベルに表記されている、または同封の手順書やメーカーサイトで公開されている初期パスワードをそのまま利用している(例:admin、数字12桁のみなど)
・機器のファームウェア・アップデートが一度も実行されていない
・Wi-Fiアクセスポイント名が企業やサービスの名称で設定されていて、職場や建物の外からでもスマートフォンなどから容易にアクセスポイント名が見えてしまう
・Wi-Fiアクセスポイントの暗号強度が弱い(例:OPEN、WEPなど)
・委託先に任せていたから全く見ていなかった、狙われるようなことをしていないので大丈夫と思っていた、契約上責任はないと思っていた、など管理不足および意識の欠如
・経営者の指示だから、経営者だから特別に使っても良い、という理由で情報セキュリティリスクを鑑みないネットワークの変更や機器の追加が常態化している
クラウドサービス
・クラウドサービス自体のセキュリティレベルや脆弱性対策などの有無を確認せず、契約している
・組織が導入したクラウドサービスに許可なく誰でも招待できてしまう
・ログインパスワードに強固なパスワードが設定されていない(例:6桁数字のみ)
・個人情報や機密情報のファイルデータが自由に閲覧でき、ダウンロードできてしまう
・個人情報や機密情報のファイルデータを暗号化や加工(マスキング)しないで保存している
ホームページ(Webアプリケーション)
・お問合せフォームなどから個人情報を取得しているホームページを非暗号化(http通信)で公開している
・セキュアコーディング(悪意ある攻撃やマルウェアなどに対応するようにプログラム開発すること)をせず、ホームページやWebアプリケーションを開発している
・IPAやメーカーサイトから公開されている、既知の脆弱性が報告されているツールやバージョンでホームページやWebアプリケーションを開発している
・委託先で開発してもらっているが、納品時にセキュリティ上で問題がないかを確認していない(信頼して任せているから大丈夫、と考えている)
サーバー(オンプレ)
・WindowsやLinuxなどのOSでサポート終了のものを使用している
・OSアップデートなどが未実施(ランサムウェアなど、緊急性の高いパッチも数年以上も当てていない)
・ウイルス対策ソフトがインストールされていない
・USBポートやソフトウェアインストールが制限されていない
・管理者権限(特権)が設定されていない(不特定多数に共有されており誰でもログインできてしまう)
・管理者権限(特権)のパスワードが未設定、強固なパスワードが設定されていない(例:6桁数字のみ)
・未許可の無料登録メールアドレスが設定されている
・サーバーを誰でも容易に触れる場所(区画)に設置している
トップ10の中でも、個人でも家庭環境でも「これだけはやっておくべき設定」が5つあります。特にインターネットの出入口に設置されるファイヤーウォールやネットワークルータ、業務で利用するWi-Fiに対して設定しておくと、サイバー攻撃発生のリスク低下にもつながる効果が期待できます。
日常対応ポイント(例)
1、ネットワーク機器の管理者パスワードは初期値から必ず変更し、他者に教えない(推奨:大小英数記号混合12桁以上)
2、自動アップデート機能があるかを確認し、設定可能であれば有効にする(または、3ヵ月に1回程度の頻度で手動確認する、メーカーなどのサポートページで最新バージョン情報を確認する)
3、スマートフォン含めてSSID(Wi-Fiアクセスポイントの名前)は、組織名や個人名、サービス名を設定しない
4、Wi-Fiのセキュリティ方式はWPA2またはWPA3、暗号化方式はAES(CCMP)といった強度の高いものを設定する
5、同じネットワークを利用している他者が端末にアクセスできないように、Wi-Fiの設定において「ネットワーク分離機能」や「プライバシーセパレータ機能」を有効化する。有線LANにおいては、ルーターやスイッチにおいて、特定のポート間通信を禁止設定する。
ISMSの情報セキュリティ管理策では、これらの実行を具体的に示しているものはありませんが、アクセス権やネットワークセキュリティ構成の確立と管理が複数の管理策によって求められています。「一度設定したら大丈夫」ではなく、定期的に機能や設定が変更されていないか、有事の連絡先(メーカーサポートなど)をしっかり確認し、把握しておくことも重要です。
管理策8.2特権的アクセス権 |
特権的アクセス権の割当および利用は、制限し、管理しなければならない。 |
管理策8.5セキュリティを保った認証 |
セキュリティを保った認証技術および手順を、情報へのアクセス制限、およびアクセス制御に関するトピック固有の方針に基づいて備えなければならない。 |
管理策8.8技術的ぜい弱性の管理 |
利用中の情報システムの技術的ぜい弱性に関する情報を獲得しなければならない。また、そのようなぜい弱性に組織がさらされている状況を評価し、適切な手段をとらなければならない。 |
管理策8.9構成管理 |
ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成を確立し、文書化し、実装し、監視し、レビューしなければならない。 |
管理策8.20ネットワークセキュリティ |
システムおよびアプリケーション内の情報を保護するために、ネットワークおよびネットワーク装置のセキュリティを保ち、管理し、制御しなければならない。 |
管理策8.22ネットワークの分離 |
情報サービス、利用者および情報システムは、組織のネットワーク上で、グループ毎に分離しなければならない。 |
また、当協議会が発行している「安心安全テレワーク施設 ガイドライン (第1版)」においても、同じ管理策と対策事例を紹介していますので、是非お役立ち頂ければ幸いです。
サイバーセキュリティ対策実践講座の過去の記事はこちら(合わせてお読みください)
山田 慎 Shin Yamada
一般社団法人セキュアIoTプラットフォーム協議会 主任研究員
長年、情報セキュリティコンサルティング業務及びISO審査員として従事。日常的な業務書類の管理からサイバー攻撃(脆弱性)対応まで物理的・環境的、技術・論理的側面に対して、セキュリティ専門性も活かした、分かりやすい対策支援を行うことを得意としている。
一般社団法人日本テレワーク協会 / 一般社団法人セキュアIoTプラットフォーム協議会が認証機関として推進している「安心安全テレワーク施設認証プログラム」の設立や「安心安全テレワーク施設ガイドライン(第1版)」の策定にも関与。その他、ISMS審査員等の資格に加えて、学芸員、介護職員初任者研修、簿記、普通自動車運転免許等を取得。
趣味は、映画鑑賞、温泉、カートレースなど。
【所属】
株式会社HGC情報セキュリティ研究所
https://www.hgc-is.co.jp/
アイエムジェー審査登録センター株式会社
ISMS / ISMS-CLS / ISMS-PIMS / QMS審査員(JRCA登録)
https://imj-shinsa.co.jp/
サイバーセキュリティ対策実践講座の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。