見出し画像

第71話 ランサムウェアの80%を防ぐ「アタリマエ対策3」

吉田 晋 情報処理安全確保支援士(登録025036号)

費用をかけずに防げていたランサムウェア攻撃

多くの企業のシステム担当者の方とお話をさせて頂いて強く感じるのは「アタリマエの対策」が重要であるということ。しかしながら「アタリマエ対策」を実施している企業が、少ないということだ。

PALO ALTO NETWORKSのレポートを分析すると
1,機器のセキュリティパッチ適用
2,機器の不要ポートの閉鎖
3,PCのセキュリティパッチ適用
この3つの対策で、ランサムウェアの80%が防御出来たと考えられる。

全ての企業はまず最初に行うべきセキュリティ対策

本ゼロトラストFTAでは、この3つの対策を「アタリマエ対策3」と呼ぶこととする。
この3つの対策は、高額な費用もかからず、しかし大きなセキュリティ効果がある。
セキュリティは脆弱な部分から破られる。この桶の理論の通り、企業のセキュリティ対策責任者の方は、高額なセキュリティツールを導入する前に、まずこの「アタリマエ対策3」を実施して頂きたい。

アタリマエ対策1:機器のセキュリティパッチ

アタリマエ対策で最も重要なのは、機器のセキュリティパッチ適用である。

1,グローバルIP端末およびADサーバ

グローバルIPを付与された端末は世界中の攻撃者に晒されていると考えるべきだ。プロバイダーなどから割り振られた自社のグローバルIPアドレスのリストを元に、そのグローバルIPがどの端末に割り振られ、OSやミドルウェアなどは何がインストールされているかという台帳が何よりも重要だ。

またたとえ閉域網であってもADサーバもまたセキュリティパッチは必要だ。攻撃者は標的ネットワークに侵入すると真っ先に狙うのは、ADなどのドメインコントローラだからだ。

セキュリティパッチを当てるべき機器端末
・グローバルIPが付与されているということは、インターネット上で世界中の攻撃者に晒されているということです。どの企業においても最低限このグローバルIP付与端末機器については、重要なセキュリティパッチは適用する必要があります。
・グローバルIP付与端末とは、VPNルータ、ファイアウォール(UTM含む)、メールサーバ、公開サーバ、IoT機器(Webカメラなど)が代表的なものです。
・契約プロバイダから払い出されたグローバルIPと、契約しているクラウドサービスから、「グローバルIP台帳」などで抜け漏れがない管理が重要です。他組織ネットワークとVPN接続されている場合は、他組織ネットワークのグローバルIP付与端末機器も対象となります。
・また社内に侵入できた多くの攻撃者はまずADへの侵入を試みます。このため外部に晒されていなくてもADサーバは重要なセキュリティパッチの適用が必要です。

2,CVSS7.0以上

システム管理者の工数が充分余力がある企業は少ないだろう。したがって全てのセキュリティパッチを常に最新にし続けるのは難しい。
しかしIPAなどからCVSSという脆弱性深刻度ランキングで7.0以上に評価されているものは、どの企業においても即時対応するべき危険な脆弱性だ。

システム管理者は定期的にIPAの重要なセキュリティ情報などを把握する必要がある。

3,即時適用

脆弱性の情報は攻撃者も参考にしている。IPAなどの公的機関が発表した脆弱性は15分もしないうちに攻撃者が利用し始めるというデータもある。

自社の「グローバルIP付与端末またはADサーバ」において、「CXVSS7.0以上の脆弱性」が発見された場合は、出来るだけ速やかに(理想は数日以内に)セキュリティパッチ適用が必要と考えるべきだ。

https://xtech.nikkei.com/atcl/nxt/column/18/00676/080400112/

アタリマエ対策2:不要ポート閉鎖

企業サーバの約1/4は、不要ポートが開いたままであるというデータがある。
このため不要ポート閉鎖については、担当者のうっかりミスを見落とさないためにも、診断ツールを使って検証することが望ましい。

特に費用をかけなくても、nmapなど無料のツールもあり、年1回はこれらのツールを利用した診断を実施することが望ましい。

アタリマエ対策3:PCセキュリティパッチ適用

Windows10〜11は、重要なセキュリティパッチについては、事実上強制的に適用される仕組みになっている。
このため、業務で利用するPCのOSがWindows10以上で、ユーザが「手動でセキュリティパッチ適用延期設定(最長5週間)」をしていなければ、多くのケースでは感染を防ぐことが出来る。

パソコンよりもサーバ機器の方が穴になりやすい

このように攻撃者の感染経路は、社員のPCから、ネットワーク機器の脆弱性に移行してきている。
これはWindows端末の脆弱性が強制的に塞がれやすくなっている反面、企業のグローバルIP付与端末やADサーバなどの脆弱性は、放置されている傾向があるためだ。

グローバルIP付与端末の台帳を作成し、重量な脆弱性についてパッチ適用を最新に維持することは、システム管理者にとって工数がかかるから、この脆弱性が残っていると言える。

しかしそれだからこそ「アタリマエ対策3」の重要性は逆に増してきているといえる。


この記事が気に入ったらサポートをしてみませんか?