ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

バイデン大統領のサイバー攻撃に関する大統領令を日本企業向けに解説してみた!

こんにちは。富士通クラウドテクノロジーズの鮫島です。

2021年4月25日から続く三回目の緊急事態宣言下で皆さんいかがお過ごしでしょうか?

テレワークをこれから始める企業も途絶えてしまい、普通に電車が混雑していますね! 緊急事態宣言下のニュースで気になっているのは、世界的にランサムウェアによるサイバー攻撃が頻出したことでした。

特にアメリカではコロニアル・パイプラインがランサムウェアによるサイバー攻撃で操業停止に追い込まれるという大事件が起きています。
一方で、ゴールデンウィーク明けの日本企業では、長期休暇による最も無防備な業務端末(OSもエンドポイントセキュリティも未アップデート)が、見事なほどにサイバー攻撃の餌食となったのか?被害が続出した模様でした。

ここで念のため、ランサムウェアの定義を記載しておきます。

ランサムウェアとは、パソコン等の端末およびネットワーク接続された共有フォルダ等に保管されたファイルを、利用者の意図に沿わず暗号化して使用不可にする、または画面ロック等により操作不可とするウイルスの総称である。
引用元:事業継続を脅かす 新たなランサムウェア攻撃について~「人手によるランサムウェア攻撃」と 「二重の脅迫」~(情報処理推進機構)

ランサムウェアのビッグウェーブは、2013年頃の●●Lockerといった名称のものが流行した時期と、2017年頃のWannaCryの2回起きていますが、いまは3回目が来ている時期ではないかと思います。

そんな中で、ジョー・バイデン米国大統領は5月12日に、例のコロニアル・パイプラインのような重要インフラへのサイバー攻撃の激化を受け、官民連携したサイバーセキュリティ強化のための大統領令に署名したというニュースが入ってきました。

f:id:sameshima_fjct:20210609193727p:plain
サイバーセキュリティ対策の大統領令が出るとは・・・

www.whitehouse.gov

大統領令とともに、ファクトシート(要点をまとめた解説書)も公開されています。

www.whitehouse.gov

英語力がない人が大統領令を全部読むと、どうなるかわかりますか?

疲れます。

今回は、ファクトシートを翻訳・解読して、いま日本の企業・組織ではどういったサイバー攻撃対策をすればいいのか?

を考えてみようと思います。

ファクトシートの全文翻訳(もちろん機械翻訳)してみた!

以下は、ホワイトハウスのWebサイトのブリーフィングルームに掲載された

「大統領は、国家のサイバーセキュリティを改善し、連邦政府のネットワークを保護するための新しい道筋を示す大統領令に署名します

というタイトルのファクトシートの全文翻訳(もちろんGoogle機械翻訳)です。

今日、バイデン大統領は、国のサイバーセキュリティを改善し、連邦政府のネットワークを保護するための大統領令に署名しました。 SolarWinds、Microsoft Exchange、Colonial Pipeline のインシデントなどの最近のサイバーセキュリティ インシデントは、米国の公的機関および民間企業が、国民国家のアクターとサイバー犯罪者の両方からの洗練された悪意のあるサイバー活動にますます直面していることを思い起こさせます。 これらのインシデントには共通点があり、サイバーセキュリティの防御が不十分であり、公的および民間部門のエンティティがインシデントに対してより脆弱になっています。

この大統領令は、連邦ネットワークを保護し、サイバー問題に関する米国政府と民間部門間の情報共有を改善し、インシデント発生時の米国の対応能力を強化することにより、サイバーセキュリティ防御の近代化に大きく貢献しています。 これは、政府が国家のサイバー防御を近代化するために取っている多くの野心的な措置の最初のものです。 しかし、コロニアル・パイプライン事件は、連邦政府の行動だけでは十分ではないことを思い出させてくれます。 国内の重要なインフラストラクチャの多くは、民間部門によって所有および運営されており、それらの民間部門の企業は、サイバーセキュリティへの投資に関して独自の決定を下しています。 私たちは、民間企業が連邦政府の指導に従い、将来のインシデントを最小限に抑えるという目標に向けて、サイバーセキュリティへの投資を増強し、調整するための野心的な措置を講じることを奨励しています。

具体的には、大統領が本日署名する大統領令は次のとおりです。

政府と民間部門の間での脅威情報の共有に対する障壁を取り除きます。 大統領令は、IT サービス プロバイダーが政府と情報を共有できることを保証し、特定の侵害情報を共有することを要求しています。 IT プロバイダーは、多くの場合、侵害に関する情報を自発的に共有することをためらったり、共有することができません。 契約上の義務が原因である場合もあります。 また、プロバイダーが自社のセキュリティ侵害に関する情報を共有することをためらう場合もあります。 契約上の障壁を取り除き、政府のネットワークに影響を与える可能性のある違反情報を提供者に共有することを要求することは、連邦省庁のより効果的な防御を可能にし、国家のサイバーセキュリティ全体を改善するために必要です。

連邦政府におけるより強力なサイバーセキュリティ標準の近代化と実装。 大統領令は、連邦政府がクラウド サービスとゼロトラスト アーキテクチャを保護することを支援し、特定の期間での多要素認証と暗号化の展開を義務付けています。 時代遅れのセキュリティ モデルと暗号化されていないデータにより、公共部門と民間部門のシステムが侵害されています。 連邦政府は、ゼロトラスト セキュリティ モデルの採用、セキュアなクラウド サービスへの移行の加速、多要素認証や暗号化などの基本的なセキュリティ ツールの一貫した展開など、セキュリティのベスト プラクティスの採用を主導し、その採用を増やす必要があります。

ソフトウェア サプライ チェーンのセキュリティを向上させます。大統領令は、政府に販売されるソフトウェアの開発のためのベースライン セキュリティ標準を確立することにより、ソフトウェアのセキュリティを向上させます。これには、開発者にソフトウェアの可視性を維持することを要求し、セキュリティ データを公開することが含まれます。それは、ソフトウェア開発を保護するための新しく革新的なアプローチを開発するための官民同時プロセスを立ち上げ、連邦調達の力を利用して市場にインセンティブを与えます。最後に、「エネルギー スター」タイプのラベルを作成するパイロット プログラムを作成します。これにより、政府と一般の人々は、ソフトウェアが安全に開発されたかどうかをすばやく判断できます。重要なソフトウェアを含む多くのソフトウェアには、敵が悪用する重大な脆弱性が含まれています。これは長年のよく知られた問題ですが、あまりにも長い間、私たちは道を踏み外してきました。連邦政府の購買力を利用して、すべてのソフトウェアにセキュリティをゼロから組み込むように市場を推進する必要があります。

サイバーセキュリティ安全性審査委員会を設立します。 大統領令は、政府と民間セクターのリーダーが共同議長を務めるサイバーセキュリティ安全性審査委員会を設立し、重大なサイバー インシデントの後に招集され、何が起こったのかを分析し、サイバーセキュリティを改善するための具体的な提案を行うことができます。 組織は過去の過ちを繰り返し、重大なサイバー インシデントから教訓を学ばないことがよくあります。 何か問題が発生した場合、政府と民間部門は厳しい質問をし、必要な改善を行う必要があります。 このボードは、飛行機の墜落事故などで使用される国家運輸安全委員会をモデルにしています。

サイバー インシデントに対応するための標準的なプレイブックを作成します。 大統領令は、連邦省庁によるサイバー インシデント対応の標準化されたプレイブックと定義のセットを作成します。 組織は、攻撃への対応方法を理解するために、侵害されるまで待つことはできません。 最近のインシデントは、政府内の対応計画の成熟度に大きなばらつきがあることを示しています。 プレイブックは、すべての連邦機関が特定のしきい値を満たし、脅威を特定して軽減するための統一された手順を実行する準備ができていることを確認します。 プレイブックはまた、民間部門に対応努力の雛形を提供します。

連邦政府ネットワークでのサイバーセキュリティ インシデントの検出を改善します。 大統領令は、政府全体のエンドポイント検出および対応システムを可能にし、連邦政府内での情報共有を改善することにより、連邦ネットワークでの悪意のあるサイバー活動を検出する能力を向上させます。 基本的なサイバーセキュリティ ツールとプラクティスの展開が遅く、一貫性がないため、組織は敵対者にさらされます。 連邦政府はサイバーセキュリティをリードする必要があり、強力な政府内の情報共有と組み合わせた強力な政府全体のエンドポイント検出および対応 (EDR) の展開が不可欠です。

引用元:FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks MAY 12, 2021 ・STATEMENTS AND RELEASES

大統領令の要点を箇条書きにまとめてみた!

機械翻訳の精度は、思いのほか悪くない気はしますが、それでもよくわかりませんね? ざっと通しで読んでみて、要点をまとめてみました。
※あくまで、意訳です。間違っていてもマジ切れしたりしないでくださいね!

・最近の米国内におけるサイバー攻撃によるインシデントの共通項=サイバーセキュリティ耐性の低さ・脆弱性

・民間企業が所有・運営する重要インフラに対し、国家としてサイバー攻撃対応能力を高めるために連携を強める

・米連邦政府と契約するIT企業に対し、政府機関にサイバー攻撃に関する情報共有と情報開示を義務付ける

・安全なクラウドへの移行、ゼロトラストモデルの採用、多要素認証、暗号化の徹底などベストプラクティスの採用を主導

・ソフトウェアサプライチェーンのセキュリティを向上させるためにベースとなるガイドラインを定める

・60日以内に米連邦政府の調達基準の見直しを実施する

・インシデント対応のための官民共同のサイバーセキュリティ安全性審査委員会を設立(組織的な改善)

・インシデント対応のための標準的なプレイブックの作成(対応計画の標準化・底上げ)

・政府全体のインシデント発生を前提とした検出・対応能力の向上(エンドポイント+イベントログ)

今回のサイバー攻撃対策に関する大統領令の背景

要点を箇条書きにしてみて、気づいたことがいくつかあります。

・米国国立標準技術研究所(NIST)のNIST SP-800シリーズに沿っている
・サイバーセキュリティフレームワークに沿っている

当たり前ですね。

NIST SP-800シリーズに関しては、情報処理推進機構(IPA)のサイトに翻訳されたドキュメントが公開されています。

www.ipa.go.jp

IPAのサイトに「サイバーセキュリティフレームワーク(Cyber Security Framework, CSF)」のことも記載されています。

なお、ファクトシートには記載されていないことも若干あります。 大統領令原文も読んだほうがより、強い口調で対応を求めているニュアンスが伝わります。

・FedRAMPに沿ったクラウドで可能な限りゼロトラスト化を図る

※FedRAMPは日本のISMAPも参考にした米国政府機関向けクラウド調達基準。
特に、権限(特権)の最小化、マイクロセグメンテーションといった、ゼロトラストの要素が具体的に記載されています。

日本の企業や組織がやるべきこと

すでに、公共機関に対するサイバー攻撃も頻繁に起きているようですし、民間企業においては大企業はもちろん中小企業であっても、すでに多くの被害が生じています。

ランサムウェアの被害が増加しているという背景には、サイバー犯罪組織による犯罪手法のエコシステム化によって情報共有が進み、犯罪への参入障壁が低下したこともありますが、そもそも日本企業・組織のIT化の遅れとIT人材不足といった側面も大きいと思います。 新型コロナ感染症の長期的な蔓延により、官民問わずIT化の遅れが可視化されてしまった今、サイバー犯罪組織から見て日本はやりたい放題の天国に見えるのではないでしょうか?

ランサムウェアの被害に遭った多くの企業が、一定期間ITシステムの稼働を停止せざるを得ない要因を考えてみました。

・基本的な情報セキュリティ対策の不備
・ブラックボックス化したITシステム(迅速な対応が困難)
・サイバー攻撃を想定したBCP/DRの不備

サイバー攻撃の原因を特定できず再発防止までの対応に時間がかかっていること、暗号化されてしまったデータを復旧するため」の安全なバックアップがなされていないことではないでしょうか。

これらを改善するために、前述のサイバーセキュリティフレームワークの考え方は有効なメソッドです。

サイバーセキュリティフレームワークでは、サイバーセキュリティ対策を構成する「識別」「防御」「検知」「対応」「復旧」というの5つの機能を、フレームワークコアとして位置づけています。

f:id:sameshima_fjct:20210610114631p:plain
NISTのCSFをわざわざ翻訳したらIPAに既に存在してショックを受けました

・識別=セキュリティリスクの管理に必要な理解を深めること。
・防御=システムをセキュリティリスクから守るため、適切な対策を実施すること。
・検知=サイバー攻撃などのセキュリティイベントが発生した際に、早期発見を可能にする対策を施すこと。
・対応=検知されたセキュリティイベントに対し、適切な対処が行えるようにすること。
・復旧=サイバー攻撃などによって阻害されたサービスなどを、通常状態へ復旧させること。

サイバーセキュリティフレームワークは、一般企業でも適用できる汎用性を持っており、サイバーセキュリティのグローバル・デファクトスタンダードと言えます。 どこが優れているかというと…

いきなり「ゼロトラスト化しなさい」とか具体的な技術への対応を求めていない点です。

「ゼロトラスト」とか言われた瞬間、多くの企業・組織はそこでシャッターがピッシャーンとおりてしまいます。
サイバーセキュリティフレームワークならば、「現在のシステムで対策するために何をすべきか?」を組織内で考えればいいのです。

f:id:sameshima_fjct:20210610114125p:plain
組織内の意思決定の流れ(概念図) 引用元:IPA(NIST)

識別、防禦、検知は、従来からある境界防禦型のセキュリティ対策の延長線である程度実現可能な部分があります。

ご参考ですが、サーバー内部のログ監視と可視化について具体的な方法を記述したブログ記事をご紹介しておきます。 blog.pfs.nifcloud.com

対応、復旧は、サイバー攻撃に遭うことを前提としていかに迅速に対策を行い復旧させるかという観点になります。 前述のBCP/DRに自然災害だけではなく「サイバー攻撃」という想定を加えるのが、現実解となるでしょう。

ご参考までに、クラウドを活用したDRの考え方について解説したブログ記事をご紹介しておきます。

blog.pfs.nifcloud.com

ただし、サイバー攻撃による内部への侵入を前提とした対策として、ゼロトラストの要素を取り入れる必要性は高まっています。 ネットワーク内部への攻撃を防止・拡大阻止するための、多要素認証やファイアウォールルールのマイクロセグメンテーション化を検討しましょう。

最後に重要なポイントです。

サイバーセキュリティフレームワークを実践するためには、大統領令にも記載されているように、安全なクラウドへの移行は大きな前進への一歩となるはずです。

ニフクラでは、クラウド移行への道筋を解説したeBOOKを無料で配布しています。 ぜひ、ダウンロードしてください。