セキュリティ対策への注力を忘れてはいけません!

新型コロナ禍で、マスコミではテレワークが取り上げられ、もてはやされていますが、もちろん、メリットはあるものの、セキュリティ面では十分に注意・対策を行うこと、有事の際の対応がとれる体制を整えておくことが重要です。

テレワークやメール、HPなど使用しているツール自体への感染はもとより、それらのサービスを介して、ウイルスやワームを仕掛けていき、ハッキング環境を構築していく手がかりとする手法があることに留意する必要があります。「暗号しているから大丈夫!」はありません。暗号も脆弱性があり、数年前の暗号は陳腐化していますし、装置・ツールの暗号組み合わせや設計に穴(問題)があるとその点を狙って突破してきます。中央突破とからめ手(脇・裏手・裏門からの攻撃)など多方面の対策が必要です。

インターネット状況を継続的にチェックしていますが、3月以降の主に外国からの不要・不当なアクセスが増大してきています(会員向けおよびセミナーでは実データを紹介しております)。

対して、企業HPのセキュリティ面での脆弱性が高くない企業は少なくありませんし、脆弱性チェックでA+やAを過去にとったサイトでも半年もすればランクを1つ2つ落とすことは少なくありません。これは新規の脆弱性発見や、攻撃側手法の向上によるものです。無償のセキュリティ診断ツールによって簡単に脆弱性チェックができますので、攻撃者もツールを使って企業の弱みに把握したうえで、攻撃手法を考えて忍び込み、情報を改ざんしたり、窃盗を行います。その点についてもセミナーで紹介、診断と対応方法について企業向けレポート作成サービスをさせて頂いておりますが、意外と脆弱性は広く存在しています。

新型コロナのような問題が発生し、景気が悪化すると、ツール・人材・コストなどあらゆる面でセキュリティレベルが低下する傾向があります。この機に乗じて、国レベルで攻撃をしかけてきたり(冷戦や政情不安でさらに増大!)、本来はホワイトハッカー(良い技術者)になるべき人材が、ダークな世界でクラッキングにはしる傾向や、愉快犯・生活費ほしさにダークサイトから比較的レベルの低い攻撃ツールや手法を使っての攻撃が増える傾向があることに注意頂ければと存じます。診断をすると、既にボットやバックドアを仕掛けられていたり、ARPスプーフィングをされていたりしているケースやこの手法で攻めれば攻撃が成功するじゃないかというケースを発見することがあります。多くはセキュリティ診断ではなく、ネットワーク性能診断やトラブルシューティングで入って、副次効果として発見することが多いのです(つまり、ハッキングや致命的な脆弱性があることに気づいていないケースが多いのです)。

WAFや、IDS/IPS、SEIMを入れていれば大丈夫ということはありません(もちろん効果的ですが)。いかに効果的に連携させることができるか、問題が発覚してからでは遅い(漏えいしている)のであって、ログチェックや、ハッキングされていることを前提に発見し、対処できるようにしておくことが重要です。

AAR について 

客先でのプロジェクト推進や各種セキュリティセミナーなどで、プロジェクトマネージメントやセキュリティ対応に関連して、AARについて解説することがあります。

IT、特にセキュリティ分野では軍事用語や検疫に関する用語が使われることがあります。例えばDMZはDeMilitarized Zoneの略で非武装地帯という意味で、インターネットに代表されるパブリックネットワークと組織内部のプライベートネットワークとの境界に設ける緩衝用ネットワークになります。

AARは (After Action Review)の略で、予め策定した作戦に固執するのではなく、現実を分析・レビューして対応策を練る方式で、このようにした方が、実戦での生存率が高かったことが実証されている手法です(具体的な内容はセミナーで解説致します)。

過去に実施したことのあるプロジェクトやサイバー攻撃に対しては、綿密な計画を練ることで、体験者ではない監督者やプロジェクトマネージャーでも質の高い結果を得ることができるかもしれませんが、新規プロジェクトや、未知の脅威に対する対応としてはAARによって対応を練ることが必要で、その対応をうまくするファシリテーター(促進者:指導者)の役割が重要になります。

今回の新型コロナ対策では、吉村知事の対応が良い(勉強になる)と感じるのは、まだ感染者が少ない時期に注意を払い、間違いがあれば、間違いであったと認めて次善の策を講じられ、出口戦略も提示されていることです。他の地区の知事さんは、東京では東京オリンピックのからみから、当初は対策に遅延があり、その後延期が決まった段階で、オーバーシュート気味のこれでもかの対応がされるとか、大阪に類した対策を遅れて実施される(中には大阪の基準は役に立たないので後日出すとのコメントもありました)などの傾向が見られます(北海道知事さんの対応はどこよりも早かったですが。。。)。

対応策を講じるのが遅く、解除も遅い(リスクを取るのが怖い?)傾向がある中で、他者に先駆けての正規化への判断を行うことは難しいと考えています。

大阪府さんは、G20対応に関連して、ある企業を通じて、私もいろいろなセキュリティがらみのお仕事をさせて頂きました。その時の印象でも、課題提示(内容は伏せます)をさせて頂いた時点でのアクションが他の自治体さんよりも良かったことを記憶しています。組織として、AARができる素地があったのだと考えております。

リスク対応について 

お客様先でのCSIRT運営のサポートや各種セキュリティセミナーなどで、リスクアセスメントやリスク対応などについて解説することがあります。

今回は、リスク対応について紹介したいと思います。下記は、その時に使用しているシートです(新型コロナでの対応を例に説明したいと思います)。

リスクとは「悪い事象が起こる可能性」であり、そのリスクへの対応としては、回避・低減(最適化)・移転(転嫁)・保有などがあります。今回の新型コロナの場合は、台湾では、昨年末の段階で中国との人の行き来を遮断するという回避を行いました。日本では、中国からの国賓を招く都合や、東京オリンピックを中止にさせたくない為か、初動で回避に失敗しています。しかし、これはWHOが当初、大きな問題にならない、中国からの渡航者を遮断すべきないとのコメントもあり、欧米でも回避できなかったのは同じです(欧米では【大きなリスクではないと誤認させられた】と中国とWHOの対応を問題視しています)。

上記リスク回避(中国との渡航を中止)を行わないまま、リスク低減ということで、初期はクラスター対策を行ったため、リスクは顕在化し、現在に至っています。

リスクは将来において「悪い事象が起こる可能性」であり、「顕在化した」ということは、セキュリティの世界ではハッキングされてしまった状態と言えます。残るのは、被害を最小にとどめるということで、もはやリスク対応ではなく、障害対応に相当しています。

お亡くなりなった方々、ご家族の方々、闘病中の方々、医療関係の方々には気の毒ですが、欧米の状況(死者が万という数)になっていないのは、リスク対応が良かったのではなく、脆弱性が低かった(強靭であった)と考えています。まだ、油断はせず、衛生管理に注意していくことが重要と考えています。セキュリティ対応も、弱い点をなくす、日ごろの対応と、リスク発生に対して、いち早く検知して、適切な対応を取ることが重要なのだと改めて感じております。

セキュリティ誤検知について 

お客様先でのCSIRT運営のサポートや各種セキュリティセミナーなどで、WAFやIDS,IPSなどのセキュリティツールによる誤検知について解説することがあります。

下記は、その時に使用する比較表です(新型コロナでのPCR検査の注意点ついての説明も行えます)。

誤検知には、①感染していないのに感染していると判定するもの(狭義の誤検知)と、②感染しているのにしていないと判定するもの(検査漏れ・検知漏れ)があります。①をフォールスポジティブ(②よりは前向き:良いという意味でポジティブ)、②をフォールスネガティブ(クラッキングを許すことになるので、①より悪いという意味でネガティブ)と呼びます。

②の検知漏れを防ぐためには、きつめ(辛口)の検疫が必要ですが、強めると①の誤検知を増やすことになり、問題(感染)ないのに問題(感染)ありの判定を増やすことになり、実運用で、無駄な対応(感染していると考えて対応するための作業が発生、通常業務の遅延を生じさせるなど)が増えることになります。

サイバー攻撃が多いとき、あるいはその兆候を捉えた場合(ケース1)には、検知は有効に働きますが、通常時(ケース2)には、誤検知が増えて、確認作業の負担が増すことになります。

感度90%、特異度99%の検知能力を持ったケースが冒頭のチャートですが、ケース1の陽性的中率は91%です。ケース2の場合は47%に低下することになります。

通常はケース2の場合が多いので、ログを調べても問題ないケースの方が多く、これに慣れるとケース1の対応が後手にまわったり、プロアクティブ(問題が起こる前に脅威や脆弱性を除去して被害にあわない・あるいは低減する)ことができないことになります。

ツールにはAIの機能を持たせて、ある程度のドリルダウンをすることができるものが増えてきました(SEIMに多いです)が、根本的には、解決されていません。結果として、「ツール導入し、ログは取れども、役には立たず」という経営トップの感想となっています。基本となるログを見る技術、関連ツールのログチェックを行う技術が必要です。診断知識と、診断経験が必要です。弊社ではこの部分のスキルを持った要員を育成しており、複数人でのサポートが可能になってきております。

適切な対応をするためには「良いツールの導入」と、それを扱う「専門知識を有する人材の存在」の両輪が重要と考えております。

尚、ここで取り上げた、誤検知は、新型コロナ対応で、PCR検査をむやみに導入すると問題ありとの見解の理由にもなっていると思います。感染疑い少ない人にPCR検査を行うと、感染しているのに感染していないという誤検知はもちろん、実際には感染していないのに感染していると判定されてしまうことが問題で、医師の対応がパンクしてしまうだろうということです(PCR検査キットを寄付[無償]で配るとか、インターネットで販売することに批判があったのは、適切であったと思います)。

新型コロナでは、疑い高い方(37.5度以上の熱がある人、味覚障害など自覚がある人、発症した人と密着していた人、その他医師が必要と感じた人)に適応し、合わせて免疫検査をするなどの対応が必要とされているのは、このためと思います。現在の感度・特異度共に上記例(数値)は分かり易くするために良い性能を前提に記載していますが、PCR検査は、もっと感度が悪いようですので、注意が必要(むやみに検査をすると良くない)と思います。

収束はちかい! 

昨日テレビで「新型コロナウイルス感染症対策専門家」のニュースを拝見しました。実効再生産数(1人の感染者が何人にうつすかを示す数値で、1未満なら収束に向かう)が4月1日以降、示されていなかったので気になっていましたが、4月10日の段階で全国0.7、東京は0.5でいずれも1を下回っていたことが分かりました。従って現在の感染者数が減少しているのは理屈にあっていることが分かりました。

それで、自粛解除かと思いましたが、どうも延長が必要とのご認識のようです。それは、頂点に向かっての上昇カーブよりも下降カーブの方が緩やかだからのようです。

これはPCR検査が増えているためであると思います。

感染者には無症状の方も多いらしく(死亡者以外は、重症患者と患者数を含めて、詳細データがないので不明ですが。。。)もともと、実効再生産数が2.6(3月14日)で計算して、接触頻度を80%未満にしなさい(これも計算すると60%なのですが、安全率を見ている?)ということで、いろいろなところで安全率を見ているようです。

疑問に思い元グラフをみてみると、3月後半部分の実効再生産数は1前後に低下していることが分かり、2.6をベースの計算にはかなり無理があるように感じました。うーん、いずれにしても現在の低下傾向は、実は3月末少なくとも4月初旬の段階で兆候がでていたのではないかと考えています。

日本は衛生に関して、意識の高い方が多いので、欧米のような感染拡大(オーバーシュート)になっていないのは、実効再生産数の傾向を見ても分かると考えております(油断はせずに、衛生管理に注意することは必要とは思います)。

下記:
新型コロナウイルス感染症対策専門家会議
「新型コロナウイルス感染症対策の状況分析・提言」(2020 年4月1日)から引用(←部、上山加筆)