セキュリティ強化策としてのデータセンター/クラウド活用

精緻化する標的型攻撃への防御の難しさ

　2015年のセキュリティの話題としては、真っ先に挙がるのが日本年金機構の情報漏洩事件だろう。電子メールをきっかけに内部ネットワークにマルウェアが侵入、最終的に相当量の個人情報が流出したという流れで、標的型攻撃の典型的なパターンとみることもできる。具体的には、受信者の氏名や業務内容を把握したうえで、外部関係者から送られてきた業務メールに見紛うように偽装したメールを送りつける。その中にマルウェアをダウンロードさせるためのリンクを埋め込んで誤クリックを誘うという手口だ。

　この標的型攻撃に引っかかり、マルウェアをダウンロードし感染してしまったPCは外部のC＆C（Command＆Control）サーバーに接続。そこで新たなマルウェアをインストールされるなどした結果、ローカル管理者権限を奪取され、遠隔操作可能な状態になってしまう。これを踏み台にして、組織内部の機密情報を盗み出したという展開であった。

　狙われたのが公的機関だったために社会的な影響も非常に大きかったが、その後、公式な詳細な報告書が公開され、事態がどのように推移したのかが詳しく分かる状態になっている点も重要だ（画面1）。セキュリティにかかわる人にとってはまさに必読の重要情報であり、目を通しておくことを強くお勧めしたい。

画面1：感染端末と不審な通信（出典：内閣サイバーセキュリティセンター「日本年金機構における個人情報流出事案に関する原因究明調査結果」）

　さておき、この件からも標的型攻撃の防御の難しさが浮かび上がってくる。まず、標的型という名称の由来ともなっているが、攻撃者は「だれをどのように攻撃するか」について、事前の情報収集などによって準備を整えているため、一目見て分かるような幼稚な怪しさというものとは無縁だ。

　日本年金機構の例では、外部に一般公開されているメールアドレスはもちろん、通常は知る手段がないはずの職員の個人アドレスもマルウェア送付先として使用されており、かつメールアドレスと職員の氏名が正しく対応づけられていたという話もある。

　少なくとも、氏名とメールアドレスが記載された名簿情報が事前に流出した状態になっていたわけで、こうした情報を使って攻撃を仕掛けてくることから、「メールを一目見ただけで怪しいと分かる」ような無差別攻撃とは一線を画しており、「開かない」「クリックしない」という対策を徹底するのは難しい。

　また、一般的なネットワーク防御の手段であるファイアウォールやIDS／IPSなどは、外部からの通信を遮断することは容易でも、内部から開始された通信の返答として外部から送られてくる情報については基本的に通過させるため、個々のメール受信者がマルウェアのダウンロードリンクをクリックしてしまうと防御が難しい点も問題だ。個人レベルで「マルウェアをダウンロードしないように気をつける」と言い続けていても対策にはなりえない状況になっている。そのため、システム側で何らかの対応を講じる必要があるが、現時点で特効薬と言えるような効果の高い手法はないと言わざるをえない点も問題だ。

　とはいえ、現在のサイバー攻撃が無差別に手当たり次第にマルウェアをばらまくような手法ではなく、事前に情報収集を行った上で周到に準備した上で仕掛ける本格的なものになってきているという点は強く意識しておくべきだろう。

情報資産を人質にとるランサムウェアの蔓延

　標的型攻撃が周到な準備に基づく精緻な攻撃だとすると、最近話題に上ることが増えてきた「ランサムウェア（ransomware）」と呼ばれる攻撃手法は、より乱暴で力任せな印象がある。だからといって対処が簡単なわけではなく、大きな被害につながる可能性も高いので注意が必要だ。

　ransomは身代金の意味だ。マルウェアの一種で、PCや端末を使用不能な形にロックしたり、データファイルを勝手に暗号化したりするなどして読み出せなくするなど、ユーザーにとって不便な状況を作り出し、そのうえで「金を振り込めば解除する」と連絡してくるような手法を指している（画面2）。

画面2：日本のユーザーを狙うランサムウェア「TorLocker」亜種によって表示されるポップアップウィンドウ（出典：シマンテック）

　最近、話題になったものでは、Webサイトに表示される広告の中にランサムウェアが仕掛けられたものがあるという話で、この場合、その広告がどのWebサイトで表示される可能性があるのかを完全に把握するのは難しいため、感染のリスクを避けるにはWebサイトへのアクセスをすべて取り止めるといった消極的な手法にならざるをえない状況に陥った。もちろん、セキュリティソフトウェアが対応するまでの一時的な問題だとも言えるが、まさにタイミング依存であり、被害に遭ったという声も聞かれる。

　ランサムウェアの場合、標的型攻撃のような緻密な準備は必要なく、OSやソフトウェアの脆弱性を突くような攻撃で実施可能となるため、対象範囲が広く、ある意味無差別攻撃が仕掛けられる形になる。PC/サーバーやローカルに保存されているデータがまるごとアクセス不能になる、というのが想定される被害だが、逆に言えばバックアップがあれば実質的な損害の発生を回避できる可能性はあるだろう。先のWeb広告を使った手法では、PCのストレージに記録されているファイルをすべて暗号化し、読み出せなくするという話なので、諦めてバックアップから復元することで対処するのが最も簡単という話になる。ランサムウェアに関しては、事前の対策によって被害の程度が変わってくると言える。

データセンターを襲う攻撃の傾向

　標的型攻撃の場合、狙われるのは基本的に企業や公的組織など、価値の高い情報を保有している場合であり、データセンターそのものを標的にするよりは、データセンターに収容されている特定のユーザー企業のデータやシステムを狙う例が大半だろう。

　その意味では、データセンターに対するセキュリティリスクとは言えないかもしれない。では、データセンターが狙われるような攻撃として、どのような例があるのだろうか。2015年11月にIIJが開催したプライベートセミナー「IIJ Technical WEEK 2015」で、同社のサービスオペレーション本部セキュリティ情報統括室の齋藤衛氏がセキュリティの最新動向について解説しているので、氏が指摘した事象をいくつか紹介する。

破壊力を持つ最新のDDoS攻撃

　齋藤氏がまず挙げたのが、DoS（Denial of Service：サービス拒否）/DDoS（Distributed DoS）：分散サービス拒否）攻撃の激化だ。大量のパケットを送り付けることでターゲットのネットワークを麻痺させるという力任せの攻撃を、マルウェア感染などで遠隔制御した多数の端末から一斉同時に実施する手法だ。

　DoS/DDoSは昔からある、言ってみれば原始的な攻撃手法だが、ブロードバンド接続がここまで広範に普及し、大量でさまざまなデバイスが利用可能な回線帯域が拡大している今の状況で決して軽視できない威力を持つ。

　また、応用手法に、DrDoS（Distributed refl ection DoS：分散反射サービス拒否）攻撃もあり、こちらは家庭に設置されているブロードバンドルータなどを踏み台にする（図1）。こうしたネットワーク機器の中には、少量のデータ／命令を受け取った場合に大量の応答を返す設定になっている製品がある。それを悪用して、偽装の送信元IPアドレスからパケットを送りつければ、狙った相手に大量の無効パケットでダメージを与えることができるという仕組みだ。一種のパケット増幅システムとして動作するため、攻撃の威力をさらに高めることもできる。

図1：DrDoS 攻撃の仕組み（出典：IIJ）

DDoSとランサムウェアを組み合わせた攻撃

　さて、DDoSやDrDoSは、それ自体ではネットワークサービスを妨害する一種の嫌がらせ行為なのだが、これらとランサムウェア的な手法の組み合わせも報告されている。齋藤氏が「DD4BC（DDoS for Bitcoin）」として紹介した事例では、被害者にDDoS攻撃を仕掛けたうえで脅迫状を送り、「DDoS攻撃を止めてほしければビットコインを支払うように」と要求している。

　氏が紹介した例では最初の攻撃規模は10Gbps～40Gbpsで、同氏の評価では「破壊的な攻撃能力ではないが十分な迷惑行為」とされているが、そこは確保している回線帯域によって変わってくるので、ユーザー側の回線帯域にあまり余裕がない場合、40Gbpsというのは十分破壊的な規模と見なされる例もあるだろう。

　また、ニュースとしても報道されたが、スイスのプロトンメール（ProtonMail）というメールサービス事業者がDDoS攻撃を受け、要求された身代金を支払ったことを公表した事例もある。これは、2015年11月3日から数日間継続したDDoS攻撃に対する対応だった。齋藤氏はこの攻撃の規模を100Gpbsに及ぶものと紹介している。なお、このDDoS攻撃は身代金（約6,000ドル）を支払っても停止されず、6日間も継続したという（画面3）。

画面3：プロトンメールの技術ブログでは、自身が受けたDDoS 攻撃に関する情報を公開している（https://protonmail.com/blog/protonmail-ddos-attacks/）

　このDDoS攻撃と身代金要求の組み合わせは、データセンターやクラウドサービス事業者を対象として実施される可能性が懸念され、注意が必要だろう。特に、ユーザーに対してネットワークの通信速度をQoSで保証しているような場合、データセンターは攻撃の被害者であると同時にユーザーに対して迷惑を掛けてしまっているという立場にも立たされてしまうことになる。

　しかもやっかいなことに、身代金を支払えば解決できるという保証はなく、先のプロトンメールの例のように、要求された金額を支払っても攻撃が停止しないことも考えられるし、さらには「脅迫に応じる」と見なされれば、何度も繰り返し同様の攻撃が行われることにもなりかねない。

　DDoSなどの攻撃によってどの程度の被害を受けるかは、攻撃側と防御側の回線帯域の比率によって変わる。大量のブロードバンド接続端末を確保したうえで、パケットを増幅しながら攻撃を仕掛けてくるような相手だと、小・中規模のデータセンター事業者では対抗しきれない可能性もあろう。逆に回線帯域が十分に大きければ少々の攻撃はさほどの被害を受けることなくしのげるかもしれない。まさにバランス次第だ。

　DDoS攻撃は、攻撃に多数の端末が参加することから一括して遮断するという対応も取りにくいが、それでもある程度の対応は可能だ。データセンター側で可能な事前対応としては、ピアリング等で回線の冗長性を高めておくことが策として考えられる。

　例えば、セキュリティ機能が充実したロードバランサでは、DDoS攻撃パケットを識別して遮断することができる。こうしたデバイスを配置して、可能なかぎり無駄なパケットを転送しないようにすることも効くだろう。攻撃側が分散している以上、防御側も分散を考える必要がある。ISPやさまざまなネットワーク事業者が連携し、パケットが通過するそれぞれの箇所でDDoSパケットを遮断していくような取り組みも重要ではないかと思われる。

IoT時代のセキュリティ

　昨今の注目のキーワードとしては、IoT（Internet of Things）も無視できないだろう。表1は、IoT時代に考慮が必要になると思われる事項である。

表1：IoT 普及の課題はセキュリティ（出典：NTTコミュニケーションズ）

　特にセキュリティとの関連で言えば、自動車産業が注目されている。現在の自動車には膨大な数のプロセッサが組み込まれ、さまざまな制御を行っている。主なところでは、エンジン制御なども昔のような機械制御ではなく、アクセルペダルの踏み込み量を電気信号に変換した上でプロセッサを介してエンジンへの制御命令として伝えるといったソフトウェア制御になっている例が珍しくない。

　このようにソフトウェア制御が進んだ状況下では、外部からこの処理に干渉することで、例えば、ドライバーの意思を無視して突然アクセル全開にするといったことも可能性として考えられる。自動車の場合、もし、こうした外部制御が可能になったとしたら社会的な影響がきわめて大きく、さらに人命に直結する深刻な事態となるため注目度も高い。とはいえ、これはあくまでもデバイスレベルの話と位置づけられ、データセンターにかかわる話ではない。

　データセンターにかかわる話としては、自動車よりも各種のセンサーネットワークのほうが先だと思われる。例えば電力のスマートメーターなどがデータを逐次送信し、それがデータセンターなどに蓄積されることになる。このとき、現在の共通認識としては「センサーデータそのものの機密性はさほど高くない」「データが蓄積された場合には価値も高まり、保護の必要性も増す」という辺りだ。

　実際、個々の検針値そのものはさほどの価値はないが、一定期間の検針値がまとまればその世帯の電力消費のパターンを推測するなど、いろいろな知見を引き出すことが可能になってくる。こうして、集積されたデータやデータの分析結果は漏洩してはならない重要情報と位置づけられるようになるだろう。

　別の言い方をするなら、特定の世帯と紐づけることができない形になっていれば、センサーデータ自体は暗号化されていなくても構わないため、センサー自体に暗号化モジュールを搭載することは必須とは言えない。ただし、センサーからのデータを受信して蓄積するデータセンター側のストレージには適切なデータ保護機構が必要になる、ということになる。

　実際には、データセンターに集められた段階で、そのデータがIoTのセンサーネットワークで生成されたものかどうかは特別な違いを生まないため、データセンター側でのデータセキュリティに対する取り組みも特にIoTを意識する必要はなく、これまでどおりの対応を的確に行っていればよいと言える。

物理セキュリティの動向

　ここまでは、サイバー攻撃を軸としたデータセキュリティの動向について見てきた。ここでは、データセンターのセキュリティのもう一方の柱である物理セキュリティの動向についても確認しておく。

　実のところ、実際には数年前からデータセンターファシリティの物理的な側面に関してはあまり大きな変化はない。冷却性能と電力消費のバランスをとり、エネルギー効率を最大化する、いわゆる高効率データセンターについてはおおよそベストプラクティスが確立された状態だ。セキュリティに関しては、入退室する作業者の負担とのバランスを考えながら徐々に新しいシステムが入っていくが、現状、特に画期的な新技術が導入されたという話もないようだ。

“攻防”を重ねて進化する生体認証

　ただし、生体認証に関してはさまざまな手法でセンサーをくぐり抜ける例があるようで、それに対する対策がいろいろと盛り込まれている。例えば、指紋のチェックに関しては、他人の指紋を樹脂フィルムなどにコピーし、それを自分の指に貼り付けるといった手法があるようだし、ビデオカメラを使った顔認証システムに対して他人の顔写真をカメラの前にかざすことでセンサーに誤認させるといったシンプルな手も使われることがあるらしい。

　こうしたセンサーの精度の低さをついたなりすまし攻撃に対し、センサー自体の精度向上や複数のセンサーの併用、そして、解析のためのソフトウェアの高度化などで次々と対策が打ち出されているという状況だ。

写真1：静脈認証と入館者ICカードの組み合わせ（ビットアイル 文京第5データセンター）

　例えば、指紋や静脈認証に関しては、入館者ICカードと組み合わせたり（写真1）、温度センサーや血流センサーを併用してコピーと生体を見分ける工夫をしたり、あるいは顔認証などと併用することで本人確認を厳密化したりといった流れがある。また、顔認証に関しては写真でごまかされないように撮影中にピント位置を変化させて撮影対象の厚み情報を取得することで写真と実際の人物とを見分けるという手法までも出現している。

　生体認証の導入によって個人の識別が完全に行えるようになる、と思われた時期もあったが、なりすましの事例がいくつか報告されるに従って過信は収まり、警備員などの訓練を積んだ人間の眼による監視を併用するなどの形でセンサーの弱点をカバーする動きもあるようだ。実際のデータセンターでどこまで導入するかはコストとの兼ね合いもあるので簡単ではないが、データセンターのマシンルーム内部に不正侵入するのはかなり難しいのは間違いない。

セキュリティ施策としてのクラウド移行

　ユーザー視点でデータセンターをとらえるなら、オンプレミスとして、ITシステムを社内のサーバールームに置いて運用するというこれまでのスタイルから、クラウドサービスを積極的に活用するベクトルでのシフトがすでに始まっている。この流れの中で、セキュリティに対して責任を負う主体が切り替わりつつあるのも事実だ。

　オンプレミスのシステムであれば、基本的な責任はユーザー企業自身が負うことになる。一方、クラウドサービスの場合、セキュリティ維持の責任の多くはクラウド事業者側に移ってくることになる。「重要なデータが漏洩するのが怖いので社外には出さない」という判断がこれまで主流だったのが、今後は、「重要なデータを保護する十分な体制が整えられないので、外部の専門家に任せる」という判断でクラウドに移す流れが主流になっていくことが予想できる。

　セキュリティの問題は複雑なうえ、新しい技術や手法が次々と生み出される。そのことから、片手間で対応しきれるものではなく、どうしてもセキュリティ専門スタッフによって対応せざるをえないだろう。

　とはいえ、IT部門全体でさえも十分な人材を確保できないユーザー企業が珍しくないのが現状だ。さらにセキュリティのみに特化した専門スタッフを揃えるというのはきわめてハードルが高く、現実的な対応とは思えない。クラウドの普及によって「サービスとしてITを利用する」ことに対するユーザー企業の抵抗感は急速に薄れ始めていると感じられるので、セキュリティに関してもサービスとして外部の専門家に全面的に委託するという方向が主流となっていくことはまず間違いないところだ。

　過渡的な段階としては、オンプレミスのITシステムの運用を継続しつつ、マネージドセキュリティサービスなども活用してセキュリティを維持するかたちが現実解になりそうだ。

　いずれにしても、現在のITシステムはあまりに高度化してしまい、ユーザー企業が自前で構築／運用するのは相当に困難になりつつある。技術的な問題もそうだが、経済的な合理性という視点からも、特にITインフラ領域で“自前主義”が今後復権することはないのではないだろうか。ユーザー企業としては適切なデータセンターを選定してパートナーとしてさまざまな支援提供を受けつつ、データセンター活用を前提としたITインフラの構築に取り組んでいくことになる。

（データセンター完全ガイド2016年冬号）