【レポート】近年のサーバ攻撃手法を振り返り、クラウドセキュリティ最前線をゆく~森永乳業様がサーバセキュリティにトレンドマイクロを選んだ理由~

はじめに

本レポートは11/15日に開始されたTrend Micro DIRECTIONの講演、「近年のサーバ攻撃手法を振り返り、クラウドセキュリティ最前線をゆく~森永乳業様がサーバセキュリティにトレンドマイクロを選んだ理由~」のレポートです。

「防御」は「攻撃」に対して実施するもの。攻撃手法の分析無くして防御方法は考案できません。 前半は、近年のサーバへの攻撃手法を振り返りながら、これに対応する「クラウド/サーバセキュリティのあるべき形」を一緒に考えていきます。 後半は、前半でご紹介した脅威に対抗するためにAWS上でDeep Securityをご採用いただいた森永乳業様にご登壇いただき、森永乳業様の先進的なIT戦略・サーバセキュリティの考え方・Deep Securityをご採用いただいた理由と効果をお聞きして参ります。

登壇者は以下の3名の皆さんです。

  • 森永乳業株式会社 石井 俊光 氏
  • 森永乳業株式会社 大幸 千奈美 氏
  • トレンドマイクロ株式会社 福田 俊介 氏

レポート

サーバセキュリティ、まずは何から考えたら良いのか?

 ・セキュリティ=攻撃に対応するための防御
 ・攻撃手法を知らずに防御手法を組み立てることは出来ない
 ・野球の場合
  ・バッターは何を待っているのか?ストレート?カーブ?
  ・ホームラン狙いなのか、フォアボール狙いなのか
  ・攻撃側の意図を考えて防御を組み立てる
  ・セキュリティも一緒

近年の攻撃手法を振り返る

・2017年〜2018年に流行した攻撃手法
 ・Apache Struts2の脆弱性を利用した攻撃
 ・コインマイナー機能付きランサムウェア
 ・改正割賦販売法の網の目をかいくぐる攻撃

・Apache Struts2の脆弱性
  ・CVE-2017-5638
 ・2017年3月に脆弱性公開
 ・攻撃者が外部から対象サーバに侵入可能
 ・侵入後はLinuxコマンドを直接実行可能
 ・情報漏えいや改ざんが可能
 ・情報漏えいデモ
  ・ペネトレーションテスト用ツールが攻撃に悪用
  ・ツールを実行するとそのままサーバに侵入しコンソールを操作可能に
  ・Webサーバ上のログからDBへのアクセス情報を調査
  ・アクセス情報を使いDBのバックアップ(dump)を作成
  ・curlを使いDBのバックアップを攻撃者側に送信
  ・作成したDBのバックアップを削除
  ・入手したDBバックアップをローカルで解析し情報を入手
 ・2017年に公開された情報漏えいにも関わらず、2019年もずっと攻撃に使われている
  ・古い脆弱性であっても、簡単または影響範囲が広い場合、長く攻撃に使われてしまう

Black Rubyというランサムウェア
 ・コインマイナー付きランサムウェア
 ・感染したPCのファイルを暗号化して使えなくする
 ・暗号化だけでなく、バックグラウンドでコインマイナーをインストール
  ・マイニング実行
 ・不正コインマイナーはどこに仕込まれるか?
  ・サーバが多い
  ・コインマイニングには高いリソースが必要なため

改正割賦販売法
 ・カード情報を取り扱う方針組織はカード情報の保護と不正利用対策が必要
 ・カード情報の非保持化、またはPCI DSSの遵守が求められる
  ・自社でカード情報を持つ、または決済会社に任せる
 ・自社でカード情報を持つ場合=当然高いセキュリティが求められる
 ・決済会社を使う場合は、セキュリティ対策が不要、ではない
  ・攻撃の被害事例が相次ぐ
  ・Webサーバを改ざん、決済画面への遷移のページを変える
  ・偽ページに遷移させ、カード情報の再入力を求める
  ・カード情報を取得した後、正しい決済会社に遷移させる

・2019年に流行った攻撃手法
 ・脆弱性をついてランサムウェアとコインマイナーを侵入させる手法
 ・例:Oracle WebLogicの脆弱性を利用してサーバにランサムウェアをインストール

必要なセキュリティ機能

・どんな機能がサーバセキュリティに必要か?
 ・実施機能
  ・脆弱性管理・パッチ適用
  ・IPSの利用
  ・機械学習型ウイルス対策
  ・ホワイトリスト運用
  ・Webアプリケーション保護
  ・改ざん検知・変更監視
 ・防御
  ・脆弱性対策
  ・侵入経路の保護、未知の不正プログラムの検出
  ・Webアプリケーションの脆弱性対策

・実施機能の重要性
 ・ガートナーのクラウド・ワークロード保護プラットフォーム(CWPP)にて提言されている
 ・トレンドマイクロが考える実施機能と提言内容は一致している
 ・Trend Mciro Deep Securityで全ての実施機能をカバー=多層防御する保護製品

森永乳業様のクラウド戦略とセキュリティ方針

・森永乳業 石井様、大幸様ご登壇。
・森永乳業のご紹介。
 ・創業102年。
 ・牛乳、乳製品、アイスクリーム、カフェオレなどの食品の製造販売。

・IT部門で課題になったこと。
 ・30年以上前から情報化を積極的に行ってきた。
 ・2000年代からIT投資の縮小や人員の削減が行われてしまった。
 ・自社データセンターのレガシー機器を多数抱えていた。
 ・データセンターの運用保守も全て自前で実施。
 ・運用の属人化や技術の空洞化が課題に。

・2016年からITのトップが交代
 ・トップのリーダーシップの元、多くの改革を実施。
 ・コスト抑制型から付加価値創造型のITへ転換を開始。

・具体的に開始したこと。
 ・組織改革、風土改革。
  ・IT部門のビジョンや価値観、行動原則を策定(情報システムウエイ)
 ・職場改善、働き方改革。
 ・正規社員を積極的に登用。
  ・キャリア採用。
  ・新卒採用。
 ・情報システム部という組織自体の見直し。
  ・情報システム部をIT改革推進部と情報システムセンターに分割。
  ・攻めのITを積極的に採用する、という社内アピールの意味合いもあった。
 ・自社データセンターに稼働していたレガシーシステムのクラウド移行を検討開始。
  ・アセスメントした結果、可能との確信が生まれ、実行開始。
 ・一般的にはIA化からクラウド化に進む。
  ・森永様はレガシーシステムが多いため、IA化とクラウド化を同時に進行。
 ・IT部門横断組織CCoE(Cloud Center of Excellence)を設立。
  ・社内のクラウドに関する情報を集約する。
  ・クラウド専門家チーム。
  ・2019年3月に2部門横断で設立。
  ・4チームに分割。
   ・社内調整チーム...社内でクラウド化する案件を整理したり、クラウドの啓蒙活動を実施。
   ・新技術検証チーム...日々リリースされる新しい技術を検証。
   ・標準化チーム...クラウド利用のガイドラインを策定、運用標準化を進める。
   ・分析・改善チーム...クラウドに蓄積されるデータを分析し改善に繋げる。
  ・設立した効果。
   ・一番大きいのが、クラウドを活用することで、システム構築のスピードが向上したこと。
    ・以前は考えられなかったビジネス部門の要望や課題に対応出来るようになった。
   ・Webサイトなどのマーケティング部門への協力も出来るようになった。
  ・セキュリティ面での効果。
   ・予め定めたテンプレートを利用することで、キャペーンWebサイトを素早く構築できるように。
   ・セキュリティガバナンスの観点で非常に有効だった。

・クラウドのセキュリティの考え方。
 ・クラウドの一番のメリットであるマネージメントサービスをフルに活用する。
  ・不足する部分をベンダー製品でカバー。
 ・パートナーに任せっきりにするのではなく、社員も積極的に手を動かす。
 ・セキュリティだけにコストをかけられるわけではないのでテンプレートを活用。
  ・セキュリティレベルに応じて3つのAWSテンプレートを作成。
   ・個人情報、カード情報、決裁情報を扱うWebサイト
   ・動的なWebサイト
   ・静的なWebサイト
  ・最もセキュリティレベルの高いテンプレートでTrend Micro Deep Securityを利用。
   ・責任共有モデルにおいてユーザーがセキュリティを担保すべきOS以上のセキュリティ製品として最適。
  ・Deep Securityを選んだ理由。
   ・ホスト型である。ネットワーク型だと単一障害点になりやすい。
   ・多機能で多層的であること。いろんなレイヤーを幅広く守ってくれる。
   ・仮想パッチなど、高度なセキュリティ知識がなくても対応してくれる。
   ・24/365でSOC対応してくれるパートナー様が多数いる。
    ・クラスメソッドのフルマネージドDeepSecurityオプションを利用。

本日のまとめ

・Trend Microが提供するセキュリティ機能はガートナーの提言と同じ。
・CCoEを設立するのはオススメ。
・情報レベルに応じたセキュリティを設定する。
・森永乳業様の事例は公開されている。
 ・森永乳業株式会社:クラウドシフトを機にIT部門とビジネス部門の協業を改革 クラウドに適したセキュリティで全社に統制を

さいごに

CCoEの考え方はとても素晴らしい取り組みだと思いました。これも一つのDX成功事例ですね!