vProの匠
企業セキュリティの穴を、実際に攻撃して見つける「ペネトレーションテスト」のスゴさを聞く
ドコモの閉域網とIntel vProの活用で、リモートでも安全なテスト環境を構築
- 提供:
- インテル株式会社
2024年6月18日 06:00
昨今、サイバー攻撃で様々なサービスが停止したり、個人情報が漏えいしたり、といったことは日常茶飯事だ。企業は常にサイバー攻撃にさらされており、わずかな抜け道や脆弱性によって、大問題に発展することも珍しくない。
そして、そんなセキュリティの穴や脆弱性を見つける方法として「ペネトレーションテスト(疑似攻撃)」というものがある。
これは、プロのセキュリティエンジニアが、ホワイトハッカーとして企業を実際に攻撃し、そのセキュリティの脆弱性を見つけ出すというものだ。
こうしたサービスの存在を聞いたことはある人も多いと思うが、実際、それはどんなサービスで、具体的にどういったテストを行うのか? そしていわゆる「脆弱性診断」とは何が違うのか? 内部起点のペネトレーションテストをフルリモートで実現する手法を確立した株式会社サイバーディフェンス研究所に話を聞いてみた。
ペネトレーションテストでしか得られない「ドミノ図」やその活用法、疑似攻撃に使われるvPro搭載PCの選定理由など、興味深い話もきけたので、是非参考にしてほしい。
インターポールとの演習も行うサイバーディフェンス研究所
ペネトレーションテストは「擬似的な攻撃」
「脆弱性診断」とはここが違う!
「内部起点」のペネトレーションテストをどう遠隔で実施するのか?
リモートで作業できなければサービスができないピンチだった
机上だけでは分からないことを明らかにするのがペネトレーションテスト
インターポールとの演習も行うサイバーディフェンス研究所
サイバーディフェンス研究所は、サイバーセキュリティ専業の会社として、ペネトレーションテストに加え、フォレンジック(セキュリティインシデント発生時の証拠調査)のサービスなどを提供している。
同社のサイトを見れば、freeeやクックパッド、メルカリ、サイボウズなど、著名なサービスでの利用事例が並ぶ。
サイバーディフェンス研究所の最大の特徴は、サイバー攻撃やフォレンジックの手法と経験に長けた人材が集まっていることだ。同社は、NHK「プロフェッショナル 仕事の流儀」でサーバーセキュリティ技術者として取り上げられた名和利男氏が所属することでも知られる。サイトのトップページにも「人間がもたらす脅威には、人間しか対処できない」という言葉が掲げられており、人材の能力への自信を見せる。
そして、こうした能力の集積をもとにもう1つ行っているのが、高度なセキュリティ技術を求める顧客相手のトレーニング事業だ。なんとインターポールと協働で、世界各国のサイバー犯罪捜査官を対象としたサイバーセキュリティに関するトレーニングや演習を行った実績があるという。まさに世界トップレベルのセキュリティ企業と言えるだろう。
しかし、そんなサイバーディフェンス研究所も、コロナ禍の際には、ペネトレーションテストのサービスを中断することも考えざるをえない状況に追い込まれたという。しかし、Intel vPro プラットフォームなどを活用したフルリモートの調査方式を導入することで、サービスの継続を実現したという。
では、サイバーディフェンス研究所が行うペネトレーションテストとはどういったものなのか、同社の事業推進部 部長代理の鈴木嶺氏、技術統括部 セキュリティプロダクトグループ シニアセキュリティプロダクトエンジニアの松永裕司氏、技術統括部レッドチームグループ セキュリティエンジニアの新井田悠氏に聞いていこう。
ペネトレーションテストは「擬似的な攻撃」実際に攻撃し、「守るべきゴール」に到達できるかを試す
――ペネトレーションテストとはどういったものか、教えてください。
鈴木氏:ペネトレーションテストサービスを一言で表現すると、疑似的な攻撃をお客様の情報資産に実施し「どのような脆弱性が存在するか、そしてどういった侵入手段が成立するか」を明らかにするものです。お客様はその結果をもとに、システム強化や改善に取り組み、セキュリティの向上を目指します。
疑似攻撃は「情報収集フェーズ」と「侵入試行フェーズ」の2段階
――どのようなテストをするのでしょうか?
鈴木氏:ネットワークペネトレーションテストの工程を大きく分けると、情報収集フェーズと、侵入試行フェーズの2つに分かれています。
情報収集フェーズは、「攻撃に必要な情報」を集めるフェーズです。たとえば、各種のスキャン行為を通じて、「どんなポートが開いていて、どんなサービスが動いて、どんなホストが動いているか」などの情報を集めます。
そして、侵入試行フェーズでは、集まった情報にもとづいて、実際に攻撃や侵入を試みます。認証試行やアクセス権限の取得、既知脆弱性を利用した攻撃など、ありとあらゆる手段で侵入方法を探ります。
このとき、構成要素すべてをくまなく見ていくのではなく「守るべき情報資産」をゴールに設定し、ゴールを目指して、侵入を試みていくことがほとんどです。
例えば、あるホストへの侵入に成功したら、当該ホストから新たに情報を収集し、また当該ホストを踏み台として到達可能な新たなターゲットへの侵入を試みます。いわゆる横展開による侵入範囲の拡大、権限昇格をはじめとした縦方向の侵入、そういった縦横無尽の動きをしながら設定したゴールを目指すのが、ペネトレーションテストの全体像です。
攻撃起点は「外部」と「内部」、どちらも可能
――ペネトレーションテストにも種類があるのでしょうか。
鈴木氏:いろいろな切り口がありますが、われわれは攻撃の起点によって分類することがよくあります。1つはお客様の外側から攻撃を試す「外部起点」で、もう1つはお客様の内部から攻撃を試す「内部起点」です。
まず、外部起点のペネトレーションテストですが、これは「インターネットを介して攻撃する」パターンです。このテストをする場合は、当社オフィスからインターネット経由で実施する場合がほとんどです。
一方の内部起点のペネトレーションテストでは、攻撃者がお客様の内部に起点を獲得した状況を前提とします。例えば、何らかの攻撃で組織の内部に攻撃起点を獲得した攻撃者や、組織内部の人間が悪意を持って不正行為を行う場合などが該当します。
内部起点のペネトレーションテストをする場合は、当社の機材をお客様のオフィス内部に設置し、テスト対象のネットワークに接続させていただいて、その機器を起点に侵入や攻撃を実施します。コロナ禍以前は、お客様の会議室や執務フロアの一角にメンバーが一定期間常駐して、そこから攻撃を試みるというのが一般的でした。
実施期間は最短1日、規模によっては半年以上かかる場合も
鈴木氏:ペネトレーションテストは、1日で終わるものもありますが、規模が大きくなると数カ月や半年かかるものもあります。内部起点のテストをする場合、お客様の拠点に当社メンバーが常駐することになるのですが、これに伴ってお客様は、当社メンバーの作業場所を確保したり、当社メンバーがお客様拠点へ入館するための事務手続きに対応したりと、お客様の負担も多くなりがち、という課題がありました。
後ほど説明させていただきますが、リモートで実施できるようになったことで、一番良かったと思うのは、このお客様負担を軽減できた点だと思っています。
――対象となるのはお客様が実際に業務に使っているシステムですよね。疑似的とはいえ攻撃により、ダウンさせてしまったり動作をおかしくてしまったりすることはないのでしょうか。
松永氏:はい、そのようなことがないようにするのも技術力だと思います。
侵入試行にあたっては、われわれの中で同じような疑似環境を事前に作り、悪影響を与えるかどうかのテストを行ったりしています。また、攻撃手法も改善できる余地があれば随時改善しています。
「脆弱性診断」とはここが違う!重要ポイントが分かる「ドミノ図」とは?
――攻撃可能な部分を診断するという意味で、ペネトレーションテストと脆弱性診断は似た部分があると思いますが、どう違うのでしょうか。
鈴木氏:ペネトレーションテストと脆弱性の違いは巷でしばしば語られるので、改めて私が語るのは怖いですね(苦笑)。
私の考えですが、脆弱性診断が行うのは「脆弱性の有無を見つけること」であり、ペネトレーションテストが行うのは「侵入の可否を検証して明らかにすること」です。
脆弱性診断では、診断対象に潜む脆弱性の有無を調べますが、ペネトレーションテストでは、脆弱性を悪用することで、たとえば「Active Directoryの管理者権限を取得できた」といったゴールに到達できるかどうかを調べます。もちろん、到達できなくても、その過程で見つけた問題はお客様へ報告し、セキュリティ強化につなげていただいています。
「守りたいもの」に到達してしまうルートを示す「ドミノ図」を作成
新井田氏:たとえば問題が2つ見つかった場合、2つを組み合わせることでどこに侵入できるか、さらにほかの問題と組み合わせるとどういう問題に発展するかなど、複合的に問題を判断します。そして、最終的にゴールに到達できるかどうかを調べます。そうしたところも、脆弱性診断との違いかと思います。
松永氏:お客様が守りたいものをゴールとして、そこに到達するにはいくつかのルートがあります。
脆弱性診断では個別の問題を見ますが、ペネトレーションテストでは攻撃の経路を見て、このルートならゴールに到達できる、というのを見ます。
これは「全部の経路を潰す」というものではなくて、たとえば「ここに問題があって先に行けるけど、その先で止まるからさほど重要ではない」というケースもあります。一方、個別には大した問題ではなくても、「ここを通ってこういうルートでゴールに到達できる」といったものもあります。そうした優先度をつけて可視化することで、お客様が対策をしやすくします。
こうした問題の関連性をわれわれはドミノ効果と呼び、問題の関連性を図にしたドミノ図を報告所に含めて納品しています。
新井田氏:たとえば複数のルートで必ず通る1つのクリティカルパスのような問題があったら、そこをまず優先的に対策する必要があります。そうした優先度を可視化することで見えやすくして、対応しやすくします。
これは私見ですが、個別の脆弱性を見つけるのは、ある程度ツールで自動化できますが、「問題のつながりを考える」のはツールでは難しく、人間のスキルが必要な部分だと思っています。
たとえば、侵入したホストに、パスワードなどの機微情報が入ったファイルが落ちているということがよくあります。「ありそうな場所」というのはあるのですが、意外とツールに落とし込むのは難しく、結局、「テストする人間の経験で怪しいファイルを見つける」ということも多いです。
また、「攻撃者の視点」も重要だと思っています。
たとえば、社内でインフラ構築をしていると「構築情報をスクリプト化してホストに置き、定期的に実行する」ということを日常的にしていることもあるかもしれません。しかし攻撃者から見ると、それが侵入のために重要情報になるかもしれません。そうしたものを「攻撃者の観点」で1つずつ見直し、「どういった問題になりうるか」「どういう影響の可能性があるのか」「それに対策する必要があるのか」といったことを明らかにするのが重要だと考えています。
いずれにせよ、「人間がもたらす脅威には、人間しか対処できない」ということになるのかな、と思います。
鈴木氏:近年では、サイバーキルチェーンやUnified Kill Chainのようなサイバー攻撃のモデリングとMITRE ATT&CK(サイバー攻撃の戦術と手法のナレッジベース)を組み合わせて、一連の攻撃を効果的に防御するポイントを見極めるような取り組みが世界で広まっています。
ドミノ効果はパートナー企業のPatchAdvisorによって生み出された言葉で、概念的にこれらのフレームワークとよく似ています。
われわれはペネトレーションテストサービスの提供開始以来「ドミノ効果」による攻撃と分析を行っていますが、お客様にフレームワークの学習を強いることなく分かりやすくお伝えすることができるため、大変ご好評いただいています。
――改めて、ペネトレーションテストがなぜ必要かについてお聞かせください。
鈴木氏:ペネトレーションテストは「第三者の立場で、なるべく攻撃者に近い思考を持った者が実際の攻撃に近い方法を試す」やり方です。実際の攻撃により発生する事象が明らかになることにより、お客様は潜在するリスクの影響度を具体的にイメージできます。この点で、優れたテストであると考えています。
――ペネトレーションテストは、1回実施すればよいものでしょうか、それとも定期検診のように何度か実施するものでしょうか。
鈴木氏:当社としては、定期的な実施が推奨されると考えています。
というのも、システム改修や機能追加、環境の変更などで、新しいリスクが埋め込まれることがある一方、一度きりのペネトレーションテストでは、新たなリスクの潜在に気付くことが難しく、ペネトレーションテストの定期的な実施を通じて継続的にリスクをコントロールすることが望ましいです。
「内部起点」のペネトレーションテストをどう遠隔で実施するのか?「安全性を保って攻撃する」重要さ
――では、コロナ禍によって内部起点のペネトレーションテストがどう問題になり、どう対策したかについてお聞かせください。
鈴木氏:さきほど説明したように、内部起点の場合は、お客様の会議室などに当社メンバーが詰めて実施する形態でした。コロナ禍では、これはいわゆる“三密”であり、お客様および当社メンバーの安全確保の観点で、会社として実施を許容しない判断となりました。
そこで、どうにかして内部起点のテストの提供を続ける方策を考える必要に迫られて、リモートから内部起点のテストを実施する手法を、3カ月ぐらいで作り出しました。
――リモートからというのは、どのように実施するのでしょうか。
鈴木氏:はい。当社のペネトレーションテスト専用機器をお客様のオフィスなどに設置、接続させていただき、当社メンバーは現地に赴くことなく、リモートからアクセスしてテストを実施するというものです。
少しずつやり方を整備していきまして、現在は「機材を宅配便でお客様にお届けし、同梱したドキュメントに従ってお客様が設置すれば、あとは当社からリモートで接続できる」という作業フローを確立しました。これにより、当社のメンバーは一度もお客様のもとに赴かず、もちろん常駐もせずに内部起点のペネトレーションテストを実施できるようになっています。
松永氏:ここに実際の機材を用意しました。
――この2つの箱がそうですか。
松永氏:重なった上のほうが、VPNルーターです。ここに、ドコモのモバイル閉域網を契約したモジュールが挿さっています。お客様の社内ネットワークに勝手にインターネットにつながる通信経路を作るわけにはいかないので、他と相乗りしない専用の通信経路を使い、さらにVPNを通して、リモートからアクセスしています。
VPNルーターからは、下にあるミニPCのイーサネットポートにつながっています。
ミニPCには、われわれの開発している攻撃テスト用のLinuxを搭載しています。このミニPCから、USB接続のイーサネットアダプタを通じてお客様のネットワークに接続します。お客様の環境によっては複数のネットワークが対象になることもあって、その場合はUSB接続のイーサネットアダプタを複数にして対応できるようになっています。
利用機材は「セキュリティのプロ」として事前調査
松永氏:なお、こうした機材や送付方法、設置手順についても、セキュリティ的な懸念が起きないよう、綿密に調査して、この形にしています。
まず、利用機材は、我々がセキュリティ調査のプロとしてテストを実施しています。仮に機材が第三者の手に渡ってしまったとしても、保護したいデータやネットワークの侵害には至らないようシステムを設計・構築しました。
ストレージの暗号化はリモートになって難しくなった部分で、昔は「現地で起動後、ストレージ暗号化パスワードを入力して作業を開始」としていたのですが、普通のリモート環境ではそのパスワードを入力できません。これは、TPMで復号の鍵を管理してパスワード入力なしに起動できるようにし、鍵の窃取を困難にするためにセキュアブートに対応しました。WindowsでTPMを使ってBitLocker暗号化を使うのと同じようなことを、Linuxでできるようにしたわけです。
セキュリティを高める取り組みは、システム面だけではありませんでした。リモートでの業務フローを設計するチームを別途発足し、運用面のセキュリティも綿密な検討を重ねました。機器の配送などに関わるトラブルを想定した結果、ペネトレーションテスト実施後はストレージを暗号化していたとしてもお客様のデータをそのまま入れた状態で配送してはならず、安全なバックアップを作成後に生のデータを削除、ダブルチェックする取り決めなどがなされました。
また、トラブルシュートの課題もありました。
PCがハングアップしたり、OSの動作がおかしくなったりしたときなどは、ソフトウェア的には対応できず、電源をプツンと切って入れなおすことがあります。しかしリモートでは電源ボタンを押すことができません。
そこで、OSより下の層でリモートからPCの電源を操作するための手段として、IPMIと、Intel vPro プラットフォームのAMTを検討しました。IPMIはどうしても大型の機器が中心になるので、より入手性の高くコンパクトなマシンがあるvProを採用しました。
vPro搭載の小型PCを遠隔操作
――vProの導入で苦労した点などがあれば教えてください。
松永氏:大きな苦労はありませんでしたが、情報は少なかったですね。最初は電源を制御できるというところから始まり、MeshCommanderというサードパーティツールもあるとか、リモートデスクトップもあるとかいった情報を見つけてやり始めました。
ちなみに、このミニPCのHDMIポートに挿さっているドングルは、リモートKVM機能を騙すためのダミープラグで、「vProの匠」の記事を見て知りました(笑)。
――電源のオン・オフは、AMTから直接操作していますか、それともMeshCommanderなどを使っていますか?
松永氏:電源はAMTから操作しています。
1日の作業が終わったときには、事故が起きないように、PCのネットワークインターフェイスを落とすか、あるいは電源を落とす必要がありますが、AMTを使えば、遠隔から電源を落とし、また翌日の朝に電源を入れることができます。
また、このPCのセットアップ作業も自宅からできるようになっています。1つの案件から次の案件に移るときに、環境をクリンアップする目的でOSをフルインストールしなおすのですが、そうした作業も、PCを社内ネットワークに接続しておけば、ネットブート(コンピュータの起動時にLAN経由でOSイメージを取得して起動する仕組み)とKickstart(OSのインストーラーを自動化する仕組み)を使って、リモートから操作できるようになりました。
――すごい使い方ですね。
リモートで作業できなければサービスができないピンチだった
――リモートから内部起点のペネトレーションテストの作業ができるようになって、どうですか?
松永氏:肉体的にはすごく楽になりました。現地作業するときには、普段使われていない部屋にお通しされることもあります。データセンターやサーバールームなど、冷房がキンキンに効いているところだと、3時間経つ頃にはもうガタガタ震えていて(笑)
新井田氏:お客様のところに通う時間が短縮される点も、「その時間をほかの作業に使える」という効果がありますね。出張で全国各地に行けるという機会がなくなったのは残念ですが(笑)
――新型コロナが5類感染症に移行してからも、内部起点のペネトレーションテストはできるだけリモートで行いたいですか。
松永氏:そうですね。
鈴木氏:コロナ前は、テスト期間中、うちのメンバーが現地で複数名が張り付くのがオーソドックスでしたが、今はそのパターンはほとんどなくなり、リモートで張り付くかたちになりました。
ただ、お客様からご要望があれば、もちろん現地で張り付くこともできますし、設置に当社メンバーがお伺いすることもあります。いろいろな選択肢から選べるようになったのはよいことだと思っています。
また、お客様からは、「会議室を何日も通しで確保しなくてよいのは助かる」という声もいただきますし、「お客様が会議室を押さえられる日と、われわれの対応可能な日を合わせなくてよい」というのも、日程のアレンジ幅が広がって、お互いにストレスなくテストができるようになってきたと感じています。
さらに、コロナ禍中では、従業員の安全のためにお断わりしなくてはいけなかった案件もたくさんあり、このリモートの仕組みを作れたことで本当に良かったと思います。
この方式は、お客様からすると「得体の知れない機材を持ってきて外から接続する」ということで、不安を抱きやすい実施形態だと思っています。
ですから、そうした不安を払拭し、ご理解いただけるよう、機材や経路のセキュリティには非常に気を使いました。閉域網で通信経路を作ったり、その中にVPNを通したり、ストレージはTPMで保護したりといった入念なリスク対策をし、説明やドキュメントも丁寧に整備しました。また、攻撃起点として採用したvPro搭載PCも、きめの細かい遠隔操作ができ、なおかつセキュリティに問題が無いものとして選定しています。
新井田氏:お客様の情報の保護にこだわるのも、「PCを宅配便で送るので、万が一持ち出された場合でも内容が簡単に得られないようにするのが重要」と考えているためです。お客様はあまり気づかないのですが、PCに相当に機微な情報を入れて持ち帰ることになって、万が一にも第三者の手に渡ろうものなら大ピンチです。その安心材料として、きっちり情報を保護することで信じてもらうという感じですね。
鈴木氏:あらゆる観点から、問題がない仕組みにしてご安心いただだけるようにしています。こうした仕組みを作ってくれた当社の技術者や、リモート方式のトライアル実施に協力してくださったお客様には本当に感謝しております。
机上だけでは分からないことを明らかにするのがペネトレーションテスト
――最後に、改めてペネトレーションテストの重要性について読者にメッセージを。
鈴木氏:月並みな言い方ですが、サイバーセキュリティのリスクは、日に日に高まっていますし、お客様が考慮すべきポイントもどんどん増えています。
さらに、勤務形態が変わったり、クラウドが利用されたりと、技術やサービス形態も移り変わると、守るべき情報資産や向き合うべきセキュリティも変わっていくと思います。
そうした中で、常にセキュリティに向き合うことから逃げて欲しくないと考えていて、そのためのお手伝いを、攻撃者の視点を持ってできるというのが、サイバーディフェンス研究所の特徴であり、ペネトレーションテストの1つのポイントだと思っています。
現状、可視化やリスクアセスメントの方法はさまざまなものがありますが、極めて効能が高いのがペネトレーションテストだと思います。机上のアセスメントを否定するわけではありませんが、机上だけでは分からないことまで明らかにできるのがペネトレーションテストの特徴だと思っています。
まだペネトレーションテストを実施したことのない方には、ぜひご検討していただきたいと思います。また、以前実施したことのある方々についても、ぜひ現状に満足せず、さらなる強化を目指して、継続的に検討いただければと思います。
――ありがとうございました。