2022.7.5

【上野宣日本ハッカー協会】テレワークで高まるセキュリティリスク、企業は「ゼロトラスト」をどう目指すべきか

StoryNews編集部

一般社団法人日本ハッカー協会理事上野宣

コロナ禍をきっかけに、急速にテレワークが普及しました。テレワークには通勤の負担がない、生産性が向上する、優秀な人材を確保しやすいといったメリットが挙げられる一方で、課題も存在しています。それが「サイバーセキュリティ」です。

総務省が実施した「テレワークセキュリティに関する1次実態調査結果」によれば、セキュリティの確保がテレワーク導入にあたって上位の課題となっています。そうした状況を踏まえ、総務省では「テレワークセキュリティガイドライン」を公表していますが、その認知度は2割弱という結果にとどまっています。

テレワークが普及し、柔軟な働き方が選択できるようになりましたが、セキュリティの観点ではどのようなリスクが潜んでいるのでしょうか。今回、日本ハッカー協会の理事であり、セキュリティ教育・トレーニングと脆弱性診断・ペネトレーションテストを中心に事業を展開するトライコーダ代表取締役でもある上野宣氏に「テレワークのセキュリティリスクと対策方法」について話を聞きました。

ハッカーと企業のマッチング

──理事を務める日本ハッカー協会では、どのような活動をされているのでしょうか。

上野：コンピューターの技術や知識を持っている人たちを、私たちは“ハッカー”と呼んでいるのですが、今の日本は彼らが活躍できる社会になっていません。

たとえば、ソフトウェアがどう動いているのかを解析するのは法律的にはグレーゾーンに該当しますし、業務でマルウェアを取り扱うためには正当な理由が必要になります。現状、セキュリティ関係の仕事のいくつかは法律的に守られていない部分もあるので、ハッカー協会では知識や法律面でのサポートをしています。

また、ずば抜けた才能を持っている人、いわゆるハッカーに仕事を提供するといったことも行っています。いろんな会社でセキュリティに関する攻撃的な知識、防御的な知識が必要になっていますが、それらの知識を持っている高度な人材はそこまで多くないので、ハッカーと企業のマッチングをやっています。今ではだいぶ認知度も高まり、企業から問い合わせをいただくことも増えてきたな、と思っています。

脆弱性診断・ペネトレーションテストとは何か？

──上野さんが代表を務めるトライコーダでは脆弱性診断・ペネトレーションテストを展開されています。脆弱性診断・ペネトレーションテストとはどういったものなのか教えていただけますでしょうか。

上野：「脆弱性診断」自体は20年ほど前から存在するサービスです。自社または外部の開発業者が開発・構築したシステムの安全性を確かめるために必要なテストが脆弱性診断です。具体的にはシステムの脆弱性を発見することに加え、セキュリティに関係する設定の問題を発見することを目的にしています。

ウェブアプリケーションの脆弱性診断をする場合、すべての入力フォームやパラメーターなどにいろんな値を入れていき、脆弱性が発生しないかを試します。脆弱性がないか網羅的にチェックするといったことは世界的にはあまり例がないので、そういう意味では脆弱性診断は日本のソフトウェア産業が今後、世界で勝っていくために重要なキーになるのではないかと思っています。

一方のペネトレーションテストについては他国でも実施されているものです。実際にネットワークに接続し、システムに攻撃を仕掛けて侵入を試みるというテスト手法で、「侵入テスト」と呼ばれることもあります。自動車で例えるなら、実際に自動車をぶつけて運転手が安全かどうかを確認するという感じです。企業はさまざまなセキュリティ対策を導入していますが、それらがきちんと守るべきものを守るために機能しているか、それを確かめるためにペネトレーションテストを実施します。

テレワークで増加するサイバー攻撃の危険性

──脆弱性の観点から見たときに、テレワークなどの企業の働き方やシステムはどのような点が問題だと考えていますか？

上野：テレワークが普及した結果、“自宅のPC”という会社が管理していないPCで作業したり、“自宅のWi-Fi”という管理外のネットワークで作業したりする機会が増えたと思います。当然ですが、そこには脆弱性も潜んでいますし、サイバー攻撃する側からするとアタックサーフェスが増えたことにもあるので、セキュリティリスクは高まっているな、と感じています。

例えば、いまZoomで当たり前のように会議をしていますが、どれだけの会社が管理できているか。セキュリティリスクの観点から見たときに、会社の管理外のネットワークでのZoom会議を実施することは絶対NGですが、そうはなっていません。

もちろん、ビジネスありきでの、セキュリティであると思っていますし、セキュリティのためにビジネスのスピードを遅くするべきではないと考えています。ただ、サイバー攻撃をする人間にとっては格好の標的になってしまっているわけです。

私が会社の外で仕事をする際、外部からPCに侵入されないようにファイアウォールの設定をしたり、通信を暗号化したVPNを使ったりしています。安全に仕事をする術を知っているわけですが、一般の人たちはそこまで知識がないと思います。知らないのであれば使わない方がいいと思いますが、禁止すると抜け道を探す人たちも出てくると思うので、安全にそして利便性を損なわずに利用させたい場合には会社からモバイルルーターを提供するのが良いでしょう。

──テレワークのシステムとして、VPNの他にリモートデスクトップといったものもあります。それについて、上野さんはどのように見ているのでしょうか。

上野：VPNはインターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークを構築することでオフィスネットワークに接続できるようにするというものです。一方のリモートデスクトップは社外にある端末から社内のPCにダイレクトで繋ぐ方式です。レイヤーが異なるだけで、守っている境界の奥に入る仕組みという点ではどちらも同じようなものと言えるでしょう。利用者からすると利便性が向上するというメリットがありますが、利便性が向上するとアタックサーフェスも増えます。

VPNやリモートデスクトップを活用することで、結果的に侵入の入り口を増やしてしまうことにも繋がるので、どちらにもそれぞれの脆弱性があります。サイバー攻撃する人間からすると、いきなり社内ネットワークに入れるわけなので、狙わない手はない。VPNやリモートデスクトップは便利であることは間違いないのですが、それは攻撃する側にとっても便利であるということは意識しておかなければいけないな、と思います。

こうしたリモートアクセスツールの便利さを生かすためには、適切なサイバーセキュリティ対策が必須となります。最低でも二要素認証を使った認証を取り入れたり、特定のハードウェアからしかアクセスできないデジタル証明書を使ってアクセスを制限したりといったことはやるべきでしょう。

3つのフェーズで「ゼロトラスト」の実現を目指す

──では、潜在的なセキュリティリスクに対して、どのような対策をすべきでしょうか。

上野：今まではファイアウォールやIPSなど、外側と内側に境界線を引いて情報資産を守る「境界型」が重視されてきましたが、テレワークが普及し会社の外で働く機会が増えたことで「ゼロトラスト」の考え方が重視されるようになってきています。

ゼロトラストとは、「何も信頼しない」を前提に対策を講じるセキュリティの考え方です。具体的には、すべての通信を信頼しないことを前提に、ネットワークの内外に関わらず、通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化、ネットワークやそれに接続されるデバイスの統合的なログ監視などを実施していきます。

現在、クライアントPCの監視とログの分析によってサイバー攻撃の素早い検知と対処を可能にするEDR（Endpoint Detection and Response）や、クラウド経由でID認証ならびにIDパスワード管理、シングルサインオン（SSO）、アクセス制御などを提供するIDaaS、デバイスのセキュリティ状態などに応じてアクセス制御を行うIAM（Identity and Access Management）といったソリューションも登場しています。

──企業はどのようにしてゼロトラストの実現を目指していくべきでしょうか？

上野：最近になって、パッケージ化されたソフトウェアを買うかのように「ゼロトラストを実現したい」と聞かれるのですが、ゼロトラストを提唱し始めたGoogleですら、ゼロトラストモデルに移行するまでに8年ほどかかっています。決して簡単ではありません。

では、どのように移行を進めていくべきか。私は3つのフェーズに分けて進めていくべきだと思っています。

第一フェーズはID・パスワードの管理です。従業員が何のクラウドサービスを使っているのか。それらをすべて把握し、クラウド経由でのID認証ならびにIDパスワード管理やシングルサインオンなどIDaaSの仕組みを使って管理に取り組んでいくべきでしょう。

あとは、クライアントPCの監視とログの分析によってサイバー攻撃の素早い検知と対処を可能にするEDRやIT機器のログを一元管理・解析し、インシデントにつながる脅威を検知するセキュリティ製品「SIEM（シーム）」を導入し、ログの収集と分析を実施することも重要です。

さらには、コンピュータセキュリティにかかるインシデントに対処するための組織「CSIRT（シーサート）」も作った方がいいと思います。これは組織をつくることが重要なのではなく、文化をつくるのが重要です。CSIRTをつくることで、セキュリティに関する情報の窓口が明確になります。

例えば、社内でコンピューターに問題があった際、誰に言おうか迷っていたと思いますが、CSIRTがあればそこに情報が集まる。また不利益を被らない、心理的安全性が保たれているようにすることで些細なインシデントでも連絡してくれるようになります。CSIRTによって、社員が必ず連絡してくれる文化をつくるということが大事です。

第二フェーズは社内ネットワークを捨てて、個人がネットワークに繋がってクラウドのサービスを使う状態に入っていきます。そのため、各個人のPCが会社にあろうが、自宅にあろうが、場所やデバイスを問わず共通のポリシーでWeb通信を保護するクラウド型Webプロキシサービスで管理していきます。どこからアクセスしても通信が管理される仕組みが導入された後に、認証を強化するためにパスワードを使わずにオンラインサービスのID認証を安全で簡単に行うことができる新しい認証規格「FIDO認証」などを導入します。

そして、第三フェーズはいよいよ、ゼロトラストの実現になってきます。そこで重要なのは動的なアクセス制御ができることです。誰が、どのデバイスが、どのデータリソースに対してアクセスしうるかを常に認証・認可し、リアルタイムでモニタリングすることでアクセス制御を動的に行っていきます。

そのためには、いろんなデータの相関関係分析をしないといけないため、クラウドサービスで起きていること、従業員の端末で起きていることのログをとり、それを分析して攻撃でないのか、正規のアクセスかを見極められるようにしなければなりません。それらを監視できる仕組みとして、情報システムへのセキュリティリスクの監視や分析などを行う専門組織「SOC（ソック）」といったものも構築する必要があります。

──最後に最新のセキュリティリスクに臨むために必要な心構えについて教えてください。

上野：セキュリティに関する経営者のリテラシーを高めることですね。今まで何億円、何十億円もの資金を投じてつくった社内システムを捨てて、クラウドに移行することに拒否感を覚えるのかもしれないですが、今やローカルのシステムは簡単にハッキングされてしまいます。経済産業省も「サイバーセキュリティ経営ガイドライン」を公表しているので、セキュリティリスクに対する課題は経営者の問題とも言えます。ですから、まずは経営者がセキュリティのリテラシーを学ぶことに取り組んでいくべきでしょう。

【併せて読みたい上野宣の関連記事】

【上野宣（うえの・せん）のプロフィール】

一般社団法人日本ハッカー協会理事
株式会社トライコーダ代表取締役

奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立

OWASP Japan 代表
株式会社Flatt Security 社外取締役
グローバルセキュリティエキスパート株式会社社外取締役
情報処理安全確保支援士集合講習講師、カリキュラム検討委員会
一般社団法人セキュリティ・キャンプ協議会理事・顧問
情報セキュリティ専門誌 ScanNetSecurity 編集長
Hardening Project 実行委員
JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
SECCON 実行委員
NICT 実戦的サイバー防御演習 CYDER 推進委員
一般社団法人 ITキャリア推進協会 (JAIC) アドバイザリーボードメンバー
情報経営イノベーション専門職大学 (iU) 客員教員
第16回「情報セキュリティ文化賞」受賞
(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数