(2022/04/04 追記: 本記事で紹介しているホワイトペーパーは 3月 (正確な日付は不明ですがおそらく中旬) に日本語版が公開され、さらに使いやすくなりました。

本記事の公開当初は英語を筆者で訳していましたが、更新して公式の邦訳に合わせました。

当初の内容が気になる方は、Wayback Machine や Web 魚拓をご利用ください)

 

セキュリティのガイドラインやベストプラクティスと呼ばれるものは多数ありますが、内容が抽象的だったり大量すぎたりして、適用する組織側が具体的な実装法を考えなければならないことも多いです。

 

あるいは逆に、特定のベンダーの製品やサービスが前提とされるがために、その製品やサービスを導入していない (あるいはできない) 組織には使えなかったり、導入できるにしても相応のコストがかかるということもあります。

 

そこで、多くの組織で適用できて、追加の製品導入を前提とせず、それでいて効果のある対策群があったらいいなと思っていたのですが、良さそうなものを見つけたのでご紹介します。

 

Mandiant 社が今年 1月に公開したホワイトペーパー「破壊的攻撃から保護するための予防的準備とセキュリティ強化」(原題: Proactive Preparation and Hardening to Protect Against Destructive Attacks) です。

 

Mandiant 社による紹介

www.mandiant.com

 

ホワイトペーパーの直接ダウンロード (PDF)

https://www.mandiant.jp/sites/default/files/2022-03/protect-against-destructive-attacks-v1-ja-JP.pdf

 

ホワイトペーパー (英語版) の直接ダウンロード (PDF)

https://www.mandiant.com/media/14506/download

 

• はじめに
• 背景
• 本 WP の特徴
  • 内容が具体的
  • ボリュームが現実的
  • 特定のセキュリティ製品が前提とされていない
  • 破壊的攻撃以外にも対応
  • 検知の重視
  • OT を考慮
  • 英語版しかない
• 内容

 

はじめに

• 筆者は Mandiant 社と利害関係はありません。
• 筆者は今回紹介するホワイトペーパーに直接関係するものを除き、 Mandiant 社の製品やサービスの機能・性能や優位性について何の知見も持ち合わせません。
• 以下のすべての日本語訳は筆者によるものです。間違っている可能性もありますし、今後公式の日本語版が発行されたとしても、その表現と一致する保証はありません。(2022/04/04 追記: 公式の日本語版が出たのでその表現に合わせました)
• 以下、「破壊的攻撃から保護するための予防的準備とセキュリティ強化 (Proactive Preparation and Hardening to Protect Against Destructive Attacks)」を「本 WP」と呼称します。

 

背景

国際的な情勢を背景として、今年 2月 23日に経済産業省から、同 24日に金融庁から、それぞれの所管する企業等に対して相次いで注意喚起が発行されました。

 

経済産業省

www.meti.go.jp

金融庁

www.fsa.go.jp

内容は両者でほぼ同一です。

(金融庁の方には対処手順の確認や体制の準備に関する項がありませんが、おそらく特別な意図はないと思われます)

 

まず大前提として、サイバー攻撃は

• 国際・国内情勢が緊張していたり、大きなイベントがあったりするときにだけ受けるわけではない
• 対策には時間や手間がかかるので、情勢の変化やイベントを迎えてから動き出しても遅い
• 何かしら政治的・思想的などの狙われそうな理由がある組織や人だけが受けるものではない

 

ので、このような情勢になってから騒ぐべきことではないですし、もしこのような情勢で何か特別なことをしなければならないような気がするなら普段かなり危ない状態である可能性が高いです。

 

とはいえ「監督官庁が文書を出した」というのはかなりインパクトのあることなので、改めて対策の強化を考えたりその実現のための理解を得るのには良い機会でもあります。

 

これらの注意喚起が示す対策は基本的に真っ当なものではあるのですが、通り一遍のメンツで、内容自体も正直具体性に欠けるため、受け取った企業等の側で何にどう取り組んだらいいかわかりにくいという欠点があります。

(日本の役所から発行される注意喚起系の文書全般にいえることかもしれませんが)

 

例えば「アクセス権限の確認というが、あるべきアクセス権限とはどのようなもので、どう設定したらいいか」「各種ログの確認というが、具体的にログの何を確認したらいいのか」といったことは教えてくれないので、自分たちで考えて実装する必要があります。

 

※民間の団体や企業による補足が出ていますので、あわせて参考にしてください。

一般社団法人ソフトウェア協会 (Software ISAC)

prtimes.jp

NRIセキュア

www.nri-secure.co.jp

 

そのようなわけで「もっと具体的に何したらいいか教えてくれるリファレンスはないのか？」と思うことになります。

 

今回私が本 WP をご紹介するのにはこのような背景があります。

 

本 WP の特徴

本 WP にはいくつか特徴があります。

 

内容が具体的

これが本 WP の最大の特徴です。

Windows と Active Directory からなるシステムを想定して対策を紹介しているのですが、「実行するコマンド」「確認するレジストリキー」や「スクリーンショット」が豊富に掲載されています。

方法が複数ある場合や Windows のバージョンによって設定が異なる場合もフォローされています。

 

 

対象のシステムを具体的に想定していることにより、その想定から外れてあまり役に立たない組織もあるはずですが、多くの組織ではやるべきことが明確に示されているメリットが大きいと思います。

 

また、オンプレミスシステムを主な対象としていますが、「同様のコンセプトをクラウドベースのインフラにも適用できます」としています。

 

ボリュームが現実的

何百ページもある文書を読み込んで対応するのは大変ですが、本 WP は全部で 59ページ (2022/04/04 追記: 英語版は 46ページ) で、そこまで大量ではありません。

表紙や裏表紙を除いた実質的な分量はさらに少ないです。

 

その分スコープはシステムハードニングに絞られており、例えば「インシデント対応体制構築」や「従業員への教育」は扱われていません。

本文中にも「このホワイトペーパーは、あらゆる戦術に対応できる総合的な防御ガイドと見なすべきではありません」とはっきり記載されています。

比較的すぐに取り組めて効果があるものに厳選されているということでしょう。

 

特定のセキュリティ製品が前提とされていない

本 WP を作成したのはセキュリティ企業ですが、本文中でほとんど自社製品・サービスについて触れていません。

外部からアクセス可能なアプリケーションやサービスを特定する箇所で 1回だけ言及していますが、他社製品も併記されており、特別自社製品を使えというニュアンスではありません。

そのため、「特定の製品を使っていないから無意味」ということがありません。

 

個人的な話で恐縮ですが、筆者は「ウチの製品でこれこれができますよ！」という話にはあまり興味を持てないことが多いです (すでに使ってる製品の場合を除く) 。

どこの製品を使うか選べる立場ではないので、聞いても大抵役に立たないからです。

逆に、自社製品と無関係に役立つ情報を提供してくれる企業には好感を持ちます。

 

本 WP は自社製品に限らず、全体を通して「新たに何かを導入する」ことへの言及が少なく、「既存システムを適切に設定してセキュアにする」ことに主眼を置いているように見受けられます。

 

破壊的攻撃以外にも対応

本 WP のタイトルはあくまで「破壊的攻撃から～」となっており、実際に現在の国際情勢を踏まえて作成されたものではあるようですが (上記の Mandiant 社によるブログ記事を参照)、実際にはランサムウェアやワイパーなどのシステムやデータに「破壊的」ダメージを与えるタイプ以外の攻撃、例えば情報窃取を目的とする標的型攻撃への対策としてもかなり有効と思われる点が多い内容になっています。

 

最近のランサムウェア (など) の攻撃手法には従来型の標的型攻撃に通ずる点が多くみられるようになっており、特別な「ランサムウェアならではの対策」などない、という点を踏まえれば当然ともいえます。

 

検知の重視

攻撃を防止することだけでなく、その試みを検知するために何に着目するかを「Detection Opportunities (検知の機会)」として紹介しているのも大きな特色です。

 

 

ただ、ログの取得・保存や分析基盤の構築については本 WP では扱っていないので、紹介されている着眼点に従った検知・分析が実際に可能かどうかは確認し、必要なら別途適切な設定などを行う必要があります。

 

OT を考慮

OT (Operation Technology) システムについて言及している点も特筆に値します。

あまり注意喚起系の文書で見ないような気がします。

 

OT は「工場・プラントなどの機械設備や生産工程を監視・制御するための、ハードウェアとソフトウェアに関する技術」(「現場で役立つOTの仕組みとセキュリティ」P.16 から引用) です。

産業システムとか制御システムと呼ばれているものとおおむね同じです。

実際、「OT/ICS*1」などと表記されることもあります。

 

OT システムは以前から存在していましたが、多くは孤立したシステムであり、別に発展してきた IT システムと、それを取り巻く脅威とは無縁と考えられてきました。

 

しかしながら近年オープン化が著しく、IT システム (ひいてはインターネット) との接続がなされるようになり、セキュリティ上の懸念が顕在化しています。

(ご関心をお持ちの方は「スマートファクトリー」「IIoT」「Industory 4.0」などの用語を調べてみてください)

 

厄介なことに、OT システムには IT システムとは異なるセキュリティ上の難しさが数多くあるといわれています。

いくつか例を挙げると、

• 国民・住民の命や生活に重大な影響を与える、いわゆる重要インフラが多い
• 異常をきたすと HSE (Health/Sefaty/Environment、健康・安全・環境) に甚大な影響を及ぼす場合がある
• 事業の中核をなす生産活動そのものであることが多く、業種によっては一度止まると容易に再開できないことから、可用性・継続性がかなり重視される*2
• 設備の使用期間が長いうえ信頼性に重きが置かれるため、IT システムでは考えられないほど古い (したがって攻撃には脆弱な) 機器が現役であることが多い
• 可用性・継続性を損なうことが忌避されるため、パッチ適用、ファイアウォール・アンチウイルス導入などのセキュリティ対策が歓迎されないことが多い
• IT システムとはまったく別の部署が担当していたり、工場ごとに独自の管理がなされていたりするため、組織として一貫したセキュリティ管理がしにくい

OT システムのセキュリティについてさらにご関心をお持ちの方は次の文献をご参照ください。

 

現場で役立つOTの仕組みとセキュリティ

制御システムセキュリティ入門

製造業のサイバーセキュリティ

 

英語版しかない

(2022/04/04 追記: 3月中旬に公式の日本語版が公開されたので、本節の内容は過去のものとなりました。

とはいえ、有用なドキュメントのすべてが日本語になるとも限りませんし、本 WP も日本語訳に 2ヶ月前後かかっています。「日本語しかわからない」というリスクを軽減するべきだという考えに揺るぎはありません。)

 

(2022年 2月 27日時点)

これが一番のウィークポイントです。

これさえなければもっと自信を持って薦められるのですが……

 

公式の日本語版が公開されるのが一番良いのですが、英語版の公開から 1ヶ月以上経った現在、筆者が知る限り特に動きはなさそうです。

営利企業である以上売上に資すると判断されたものにしかリソースは投じられないでしょうし、第三者がそこに文句をつけることはできません。

権利者でない筆者が勝手に全訳して提供するわけにもいきません。

 

英語の文章から目を背ける人はセキュリティ技術者でも多いのですが、はっきり言って、セキュリティ関係の重要な情報の多くは海外から出てきます。

 

いつまで待っても日本語にならないようなドキュメントは多いですし、最終的に誰かが日本語に訳してくれるとしても、翻訳に伴う遅れや誤訳の影響は避けられません。

情報の性質によっては、その遅れや不正確さが致命的になることもあり得ます。

 

また、個人的な感触ですが、より具体的・実践的な内容になるほど日本語での情報が少なくなる気がします。

具体的・実践的な情報とは、つまりその時その局面で現場が必要としている情報です。

 

「セキュリティ部門が日本語の世界からしか情報を得られないのは、組織の脆弱性である」と捉え、組織的に強化していくべきだと考えます。

 

英語を読みこなせる人・組織にとっては、本点は欠点にはなりません。

 

内容

最後に、本 WP の内容の概要として、表1 「強化のための推奨事項と検知の機会の概要」を訳して掲載します。

雑な訳で恐縮ですが、これだけでも目を通して、自組織で活用できそうかどうかの検討に役立てていただけると幸いです。

 

なお、表中の項目には番号が付与されていますが、本文の対応箇所には特に番号はありません。

 

対象領域	説明	ハードニングの推奨事項	検知の機会
外部公開アセットの強化	外部接続の経路の悪用や、不正リモート・アクセスのための既存テクノロジーの利用による攻撃者のリスクから保護します。	1. 外部公開アセットを特定、列挙、強化する 2. 外部公開サービスに多要素認証を適用する	1. 外部公開アセットと多要素認証の試み
重要なアセットの保護	価値の高い特定のインフラを保護し、破壊的攻撃を受けた場合の復旧対策を準備します。	1. AD および他の重要なアセットをバックアップする 2. 的を絞った事業継続計画を策定する 3. IT 環境と OT 環境をセグメント化する 4. 出口対策を実装する 5. 仮想インフラを保護する	1. バックアップへの不正なアクセス 2. IT ネットワークから OT ネットワークへの水平展開 3. 不正なアウトバウンド・トラフィック 4. 仮想インフラへの不正なアクセス
オンプレミスの水平展開に対する保護	環境内への初期アクセスを得た攻撃者が、水平展開してアクセス範囲と永続化を拡大することを防ぎます。	1. エンドポイントとの通信を制限する 2. リモート・デスクトップ・プロトコル (RDP) を強化する 3. 管理共有/隠し共有を無効にする 4. Windows リモート管理 (WinRM) を強化する 5. 水平展開の一般的なツールと手法を制限する 6. エンドポイントにマルウェア保護を実装する	1. SMB および WMI 通信 2. RDP の使用 3. 管理共有または隠し共有へのアクセス/列挙 4. WinRM の使用 5. 水平展開の一般的なツールと手法 6. 改ざん防止イベント
認証情報の漏えいとアカウントの保護	権限の昇格につながる認証情報の漏えいを防ぎます。	1. 特権アカウントの範囲を特定し、縮小する 2. SPN が設定された非コンピューター・アカウントのリスクを回避する 3. 特権アカウントのログオン権限を制限する 4. サービス・アカウントのログオン権限を制限する 5. グループ・マネージド・サービス・アカウント (gMSA) を使用する 6. Protected Users グループを使用する 7. WDigest を無効にし、GPO の再処理を適用する 8. Credential Guard によって認証情報の漏えいを制限する 9. RDP の制限付き管理モードを使用する 10. Windows Defender Remote Credential Guard を実装する 11. ローカル管理者アカウントを強化する	1. 特権アカウント/グループの使用/改変と GPO の改変 2. Kerberoasting 3. 特権アカウントのログオン 4. サービス・アカウントのログオン 5. マネージド・サービス・アカウントの改変 6. Protected Users セキュリティグループの改変 7. WDigest 認証の状態 8. RDP の制限付き管理モード 9. Windows Defender Remote Credential Guard の設定の変更 10. ローカル・アカウントでのリモート・ログオン

 

更新履歴

2022/04/04: 日本語版公開の紹介を追記。日本語版に合わせ表現を修正。なお、面倒だったのでスクリーンショットの差し替えは行っていません。