トップ   >    コラム   >   記事詳細

コラム

2022/06/17

(コラム)サイバー攻撃に気付けないソフトウェア資産管理の問題点。関連するオペレーション上の脆弱性

国内を代表する大手企業の多くは、組織のセキュリティ対策の取り組みを体外的に示す方法として、長年ITILフレームワーク採用やISMSの認証取得、近年ではNIST Cyber Security Framework準拠などに取り組んでる。これらのフレームワークや規格の中で、必ず登場するのがソフトウェア資産管理である。

 

私が以前所属していた企業でも「利用可能ソフトウエア一覧」が従業員に提示される。一覧に無いソフトウエアは、情報システム部へ許可申請を行い、利用が認められた場合のみソフトウェアをインストールして活用する運用だ。この運用方法は、前述のフレームワーク等を採用する企業では、セキュリティポリシーや規程として、当たり前に存在するルールであり、決して特別な話ではない。

 

しかしながら、60%を超える企業で、ルールや運用が有るにも関わらず、「許可していないソフトウェア」を社員が勝手にインストールできてしまう実状が、弊社の企業セキュリティ診断「C-Audit」の実績から明らかになっている。これは、悪意をもったサイバー攻撃者が、不審なツールをインストールしても気付くことができないことの裏返しとも言える。

 

例えば、「リモートデスクトップツール」は、サイバー攻撃者が特に好んで利用する手段である。一般的な企業であれば、主にMicrosoft純正ツールや資産管理ソフトのリモート接続機能を利用し、LinuxOSをよく使う企業であれば、VNCなどを利用することが多いことはよく知られている。しかし、私たちの診断を通じて、稀に「anydesk」などサイバー攻撃者が不正アクセスに利用するリモートツールが企業内の端末から検出されることがある。

 

加えて、昨今のウクライナ情勢で様々な情報交換や画像配信に利用されている秘匿性の高い通信アプリ「テレグラム」も、企業内の端末で検出されることもある。「テレグラム」は日本での犯罪事例として「闇バイト」の連絡手段としても利用されたことで知られている。

 

私たちの診断を通じて、これらツールが検出された結果を聞く企業は、次のような驚きを隠せない。

 

・運用ルールと資産管理ツールで勝手にインストールできなくしているハズなのに!

・ソフトウェア資産管理を定期的にチェックしているハズなのに!

・サイバー攻撃者がインジェクション(不正アクセスのためにインストール)したものではないか?

・もしかして、今、攻撃されているの?/情報盗られたりしていないか?

 

これらの犯罪でもよく使われるツールが企業内で発見される事自体が、各種フレームワークが提唱される運用が正しく行えていない事実である。リスクが顕在化することで、セキュリティ担当者や責任者を不安になる。

 

ここで、事故が起きていなければ、吉報である。何かが起こる前に、問題のツールを取り除いたり、運用を見直す事でリスクを大幅に低減できる。また、本当にサイバー攻撃が進行していたならば、攻撃の連鎖を断ち切る予防にも繋がる。コストも掛けずに、すぐに見直すことが可能なQuick Winだ。

 

従って、企業内の端末で問題となるツールが検出される場合は、一度、IT資産の管理手法とその運用をしっかりと見直し改めるべきだ。ソフトウェア資産管理が正しく機能しているか棚卸しする事を強く推奨したい。

 

最近は、様々なセキュリティ対策ソリューションで、この運用を補うような工夫も行われている。特に、コロナ禍によって拡大したリモートワークと同じく、ゼロトラストやCASBという領域が大きく注目された。しかし、これらのサービスを導入済みの企業でも、ソフトウエアの許認可の制御見直しや、その管理機能自体が、有効になっているのかを改めて確認することが忘れられている場合も多く見受けられるので、同様に注意が必要だ。(導入後の設定チェックなどは、運用の手順や、導入ベンダーの提供サービスに含まれていない場合が多い。)

 

現在、デジタルトランスフォーメーションの波によって、従来のIT部門主導だけでなく、ビジネス部門がより主体的にデジタル化に参加する時代となった。その結果、ソフトウェア開発のスピードは加速し、大量に製造される中、セキュリティ管理が煩雑になっている状況が散見される。その対策の一つとして、企業のセキュリティをしっかりと守るためにも、管理効率の高いソリューションを活用し統制とコントールを充実させることが大切だ。私たちの結果が物語るように、対策ソリューションを導入しているだけではダメである。管理者自身がソリューションの特徴を正しく認識し、目的に沿った設定・運用ができている事を検証する必要がある。この点においては、ヒトの責任感や判断力に基づいて、正しくオペレーションできていることを確認や検証を行うことが極めて重要である。

 

時代が移り変わり、令和となった今日でも、基本に則った運用が最も重要である事に変わりない。

 

今回、その一例として、ソフトウェア資産管理の重要性を訴えたい。

 

オリエントCTO