セキュリティの脆弱性が判明した時にすべきこと

ソフトウェアを最新の状態に保ち、デバイスのコンプライアンスを維持し、ネットワークへの侵入を防ぐことにどんなに熱心に取り組んでいても、セキュリティ上の問題は必ず起こります。ここでは、2017年にmacOS High Sierraで発見された、rootアカウントのアクセスに関する問題を例に挙げます。私たちは、この問題から4つの教訓を得ました。

1. セキュリティの課題と無縁なオペレーティングシステムは存在しない
2. オペレーティングシステムやソフトウェアのプロバイダは、セキュリティの脆弱性にいち早く対応し、アップデートをリリースする必要がある
3. デバイス管理、その中でも特にパッチ管理は、もはや「あったらいいな」ではない
4. Jamf NationやSlackなどのコミュニティは、問題解決のための貴重な知識を提供してくれる

High Sierraのセキュリティの脆弱性は、デバイスへの物理的なアクセスさえあれば、ユーザまたは攻撃者が設定を変更せずにパスワードなしでMacにアクセスできてしまうという状況を作り出しました。さらに、デバイスにログイン済みの標準ユーザに、システム環境設定やログインウィンドウ、スクリプトによるアクセスなど、本来権限を持たない領域へのアクセスを許してしまうという問題もありました。

Appleは、この脆弱性の発見から24時間以内にHigh Sierraのセキュリティアップデート（HT208315）をリリースし、該当するすべてのコンピュータにアップデートをプッシュすると同時に、デバイスの自動アップデートを行いました。

今回のケースでは、24時間以内の迅速な対応が可能でしたが、脆弱性の複雑さやシステムの設置場所によっては、必ずしもこれが可能とは限りません。そのため組織は、グローバルアップデートが適用される前と、問題を修復するために手作業が必要な場合の両方で、セキュリティ脆弱性を修復するためのアクションを取っておく必要があります。

セキュリティの脆弱性への対応

NISTのComputer Security Incident Handling Guideでは、インシデント対応のライフサイクルとして、以下の4つのステージを挙げています。

準備

まずは、実際のインシデント対応を行うにあたって土台を築きます。このタイミングで手順を決めておけば、後で必要なリソースやアクションに奔走する事態を防げます。また、ネットワーク、サーバ管理、セキュリティなどの専門知識を持つ人材を含め、インシデントに対応するための適切な人員を確保しておくことが重要です。また、経営陣は対策の指揮を取り、関係者への情報伝達を行うための準備をしておかなければなりません。サイバー攻撃や攻撃のフレームワークをよく理解し、適切なコミュニケーションプランと対応策を持ったチームを用意しておくことが何より大切になります。

検出と分析

脅威を検出する上で鍵となるのは、ネットワークのベースラインアクティビティを理解することです。システムを構成する際には、CISベンチマークのようなベンチマークフレームワークを参考にすると良いでしょう。また、SIEM（Security Information and Event Management)ソフトウェアを使用することで、ネットワークを監視し、疑わしいアクティビティが見つかった場合は通知を受けることができます。出力されたログを確認すれば、ネットワークのアクティビティを把握し、異常を発見できます。

インシデントが発見されたら、あらかじめ定義されたプロセスに沿ってインシデント対応チームが分析・検証を開始します。この分析によって、インシデントの範囲や起源、手法などが解明できます。次のステップにつなげるためにも、こういった詳細をきちんとドキュメント化しておきましょう。

封じ込め、根絶、そして回復

次のステージでは、攻撃の出どころや攻撃方法の特定に役立つ証拠を保持しながら、可能であればインシデントを封じ込めます。例えば、あるデバイスがネットワーク経由で攻撃を受けている場合、ネットワークから隔離しながらも、分析を続けるために稼働させておくようにしましょう。この時点で攻撃元に関する情報を収集できれば理想的です。

脅威を封じ込めた後は、マルウェアの除去や侵入を許したアカウントの無効化、パッチ適用、安全が確認されているバックアップからのシステムの復元など、必要な対策を行います。

インシデント対応後に行うこと

インシデント対応が完了した後は、今後に備えてプロセスを改善するために、インシデントがどのように処理されたかを分析する時間を組織で取る必要があります。インシデントがどのように発生したかに応じて、脆弱性が実際に悪用され得る状態になる前に予防または発見するためのポリシーとプロセスを構築しなければなりません。これには、SIEMへの投資や従業員の追加トレーニング、脅威ハンティングの開始や拡大、既存のリスクアセスメントの範囲の拡大などが考えられます。

MDM：何かが起こる前に行動する

モバイルデバイス管理（MDM）ソリューションを使用すると、 脆弱性に対応するためのパッチが開発者によってリリースされる前に、管理対象のデバイスに暫定的な対応策をプッシュすることができます。例えば、セルフサービスカタログに掲載されているアプリに潜在的な問題があることが判明した場合、問題が解決されるまでそのアプリへのアクセスを拒否するよう迅速に設定することができます。管理対象のMacの場合、Jamf ProのようなMDMはバイナリを使用するため、以下のような機能を提供してくれます。

1. 開発者による修正を待つ間の暫定的な対応として、スクリプトを作成してポリシー経由で導入
2. サードパーティ製のパッチがリリースされた際にそのことを通知
3. コンピュータに必要なパッチを自動的に適用するポリシーで、スピーディーな修復を実現
4. オペレーティングシステムやソフトウェアのプロバイダがアップデートやアップグレードをリリースしたタイミングでそれを適用。重要なパッチの適用を堅牢なバイナリで行うか、効率化されたMDMコマンドで行うかにかかわらず、重要なアップデートをすべてのエンドユーザに迅速にプッシュし、システムが侵害される前にセキュリティの脆弱性を解消するためには、Jamfのようなベンダーの力を借りるのがベストです。

MDMソリューションは、新たに発見されたシステムの脆弱性に対応するためのパワーを与えてくれます。Jamf Connectのようなアイデンティティ＆アクセス管理（IAM）ソリューションやエンドポイントセキュリティとMDMを組み合わせることで、組織のセキュリティポスチャを積極的に向上させることが可能です。この組み合わせが提供する以下の機能を活用すれば、インシデントが発生する前にデバイスを保護することができます。

• アイデンティティ管理：クラウドIDプロバイダの認証情報を使ったSSOにより、ユーザ認証プロセスを効率化し、認証情報が漏洩する可能性を最小化します
• ゼロトラストネットワークアクセス（ZTNA）：ユーザのアイデンティティが証明されない限り、何があっても組織のリソースへのアクセスを許しません
• エンドポイントセキュリティ：デバイスを常時、目立たないように監視し、マルウェアのより迅速な検出を実現します
• アナリティクス：エンドポイントのマルウェアを監視し、脆弱性が悪用されるのを防ぐための行動分析を実行します
• コンテンツフィルタリング：危険なサイトへのアクセスを制限することで、マルウェアがユーザの目に触れる前に阻止します
• 可視性とコンプライアンス：最新のセキュリティパッチやオペレーティングシステムがデバイスに搭載されている状況を作り出すことで、デバイスのコンプライアンスとセキュリティを維持します

AppleはHigh Sierraの問題に迅速に対応し、管理者はリアルタイムでその進捗を確認することができました。しかし、深刻な脆弱性が特定された時、すべてのベンダーがAppleのように迅速にパッチを用意できるわけではありません。組織によっては、対応をのんびり待つよりも自主的に行動したいと考える場合もあるでしょう。多くの場合、IT管理者はJamf NationやSlackのようなコミュニティから有益なアドバイスを得ることができます。また、Jamfのソリューションを利用している場合、開発者からリリースされたパッチをすぐに適用するのはもちろん、それを待つ間に暫定的な対応策を採用することが可能です。