【CSIJコラム33(2025,5,30)】
「セキュリティ対応の心構え ~攻撃者の気持ちになって考える~」
エムオーテックス株式会社
プロフェッショナルサービス本部
アソシエイト
刀川 郁也
ゴールデンウィークが明け、新年度が始まってから1ヶ月が経ちました。新任のセキュリティ担当者の皆様も、徐々に実務に取り組み始めているのではないでしょうか。私はセキュリティ業界に飛び込んで7年目となりましたが、ここで、個人的に大切にしているセキュリティ対応における心構えをお伝えしたいと思います。
最近では、ASM(Attack Surface Management)と呼ばれる、外部公開資産の脆弱性を管理する製品が普及しています。これは、攻撃者の視点で脆弱性を探すというコンセプトの製品です。私は防御側の立場ですが、この攻撃者目線という考え方が気に入っており、対策検討やセキュリティ事故への対応を支援する際には、「攻撃者ならどう考えるか」を常に意識しています。
例えば、外部公開しているサーバーに脆弱性があり、セキュリティ担当者としてサーバー管理者にパッチ適用を指示したところ、「1ヶ月後のリプレース時に対応する」と返答された、という状況があったとします。この対応は、最終的にパッチを適用するので一見問題ないように思えますが、ここで攻撃者の視点に立って考えてみましょう。
攻撃者は、インターネット上で脆弱性がないかスキャンしていたところ、脆弱性が放置されたサーバーを見つけました。ここで、このサーバーへの攻撃はいったん置いておいて後回しにしようとなるでしょうか? おそらくならないでしょう。パッチが適用される前に、そして他の攻撃者に手柄を取られる前に、いち早く攻撃を完了させようと努力するのではないでしょうか。
もちろん、脆弱性の内容にもよりますが、アクセス可能な環境に侵入できそうなサーバーがあるなら、すぐにでも侵害を試みるはずです。Google Cloudのレポートによれば、2023年時点で脆弱性発見から平均5日で悪用が確認されるという報告もあります。
※参考:How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends:Google Cloud
https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023?hl=en
繰り返しになりますが、脆弱性の性質や環境構成によって悪用の難易度は異なります。すべてのケースに当てはまるわけではありませんが、サーバー管理者からのこの返答は、パッチ適用の代替策なしに許可すべきではないと考えます。セキュリティ担当者として、早期に対策を講じるよう主張すべきです。攻撃者は、こちらの事情を考慮してくれません。
このようなケース以外でも、セキュリティ対応においては、ネットワークからの遮断など様々な判断を求められることがあります。判断や対応に迷った場合には、「攻撃者の立場だったらどうするか」と考えてみてはいかがでしょうか。攻撃者の立場になり、目的や行動を考えることで、影響範囲や想定被害が見え、対策の緊急性や優先順の説明に役立てられるかもしれません。
皆様のセキュリティ対応における考え方の一助となれば幸いです。