守るだけでは腑に落ちなかった - 制御システム技術者のサイバー修行録（第４回）

攻撃を知り、守りが「自分ごと」になった。

今回は「コンサルタントにも良い人いました」「ペネトレーションテスターとの出会い」

第4回：良いコンサル、悪いコンサル - MACアドレス認証が教えてくれたこと（2015-2019）

【連載記事】 この記事は全9回の連載です。📚 連載まとめ・目次はこちら

2015年〜

Stuxnetに始まる制御システムセキュリティへの世間の注目の高まりもあり、セキュリティ対策を重要テーマとして掲げた大規模プロジェクトが立ち上がった。

田中はここにセキュリティ開発の責任者として抜擢されたのである。

ここまでの経験からやりたいことはいくつもあった。これまで予算の関係もあり、世間的にはセキュリティ対策の有効性が必ずしも実感されていないテーマを取り入れることは困難であったため、ようやく訪れたチャンスであった。

物理対策、認証・認可、ネットワーク分離、ファイアウォール、マルウェア対策、バックアップ、セキュアコーディング、ログ監視など

現在でも制御システム業界においては先進的な取り組みを盛り込んだ開発に取り組むことになる。何を採用するかは田中の裁量にかかっていた。

セキュリティコンサルタントとの出会い

技術的なテーマとは少し外れるが、ここで、初めてセキュリティコンサルタントという存在と出会ったことについて触れておく。

当時、制御システム開発ベンダーだけではなく、システムを発注する顧客ユーザーも本格的なセキュリティ対策に取り組み始めた時代であり、セキュリティの専門家であるコンサルタントに相談しながら開発を進めていた。

素晴らしい専門家たち

最初に出会った専門家は、制御システム業界にセキュリティ意識を根付かせようという高い意識をもった素晴らしい人たちであった。

まだ、ユーザー・ベンダーともに制御システムセキュリティに対する大規模投資があまりなかった時代に、誰がコスト負担をするかという議論は避けて通れないものであった。

一般に、実績重視で硬直化しがちな日本の企業文化にあって、彼らはあくまで長期的な視点から、「セキュリティ対策に必要な費用は、ユーザー・ベンダー双方ともに事前にコストとして見積もるべきだ。」と経営層に粘り強く説いていた。

何か新しいことを始めるには、まずは、経営層の理解を得るというのは本当にそのとおりだと思った。

物知り顔のコンサル

一方で、いわゆる物知り顔のコンサルも登場した。

一つのエピソードを紹介しよう。

彼は外資を渡り歩いた経験をもち洗練されたスーツに身を包み、したり顔で雄弁にネットワークスイッチのMACアドレス認証を語ってきた。

コラム：MACアドレス認証の仕組みとその注意点

MACアドレス認証は、ネットワーク機器に接続する機器のMACアドレスを登録し、登録されたもののみ通信を許可する仕組みです。これにより、不正な機器のネットワークへの接続を抑止できます。

ただし、MACアドレスは偽装可能であるため、完全なセキュリティ対策とは言えません。また、機器の交換時にはMACアドレスの登録変更が必要となり、管理コストが増大します。

重要インフラでは、可用性が重視されるため、MACアドレス認証の適用には注意が必要です。

MACアドレス認証は考えもの

MACアドレス認証に一定の抑止効果があることはわかるが、制御システムを開発・保守する者の立場から見ればMACアドレス認証は考えものである。

本気の攻撃者からすれば、容易に偽装できてしまうことに加え、例えば、ネットワークスイッチが接続するサーバのLANインタフェースが故障して交換した際にはLANインタフェースのMACアドレスが変わってしまうのだが、これにあわせて、ネットワークスイッチのMACアドレス認証の設定まで修正しなければならなくなる。

同じ担当者が両方を作業するならまだよいが、現場では複数部門が関与するのが普通だ。永続的な保守のコスト負担と天秤にかける必要がある。

可用性が重視される重要インフラのシステムにおいて、MACアドレスの設定変更1つにせよ、変更するにはそれなりの手続きが必要となるものだ。

この経験は、技術そのものよりも“アドバイスの質をどう見極めるか”という、もっと根本的な問題へと田中の意識を向かわせた。

本当に必要なアドバイスかを見分ける

本当に必要なアドバイスかを見分ける良い方法がある。なぜなぜ質問をするのだ。

広い視点から考えている人は、数多くの経験を持ち、常に二つ三つ先の事を見ている。ここで言えば、例えば次のような問いを持っている。

LANインタフェースの故障を想定しているか？
そもそも、ネットワークスイッチに悪意のある第三者が近づける可能性はどれほどあるのか？

そうでない人は、とかく世間で語られた脅威を持ち出し、悪く言えば恐怖心を煽りセキュリティ対策を強化することだけを主張してしまうことがある。コストを度外視した狭い視点にとどまってしまうのだ。

セキュリティ対策の提案そのものが目的化し、広い視点が抜け落ちてしまう陥りやすい罠だ。たしかに、どのような脅威でも発生確率0%とは言い切れないため、言っていることは間違ってはおらず、無限の予算をもっているのであれば採用しても良いのかもしれない。

しかし、運用開始からシステムの火を落とすまでの十年以上にわたりシステムを背負う者にとって重要なのは、その脅威が現実的に発生するかを見極め、採用すべき対策を自ら決断する力である。

真に必要なのは紋切り型のすぐに手に入る答えではなく、決断のために必要となる、「なぜか」という理由なのだ。

判断理由を記録することも重要である。環境・状況は時代とともに変化する。後世、当時の判断理由が分かれば、今何をすべきか、何をやめるべきかの助けになることはいうまでもないであろう。このようにノウハウを蓄積することで、継続的にセキュリティ対策の成熟度があがっていくのではないだろうか。

多様な経験

後者のような方は、本人は良かれと思いアドバイスしていることが事情をややこしくしている。最終的には対策方針を判断する立場の人が、相手任せにはせず、自分で解釈し判断する力をつける必要があるのだと思う。

これら多様な人たちと仕事をできた経験は大きな財産となった。

田中は「その対策・活動」が様々な観点から考えた上でも本当に意味ある事なのか、考えつづけることとなる。

さて、技術の話題に戻ろう。

初めてのペネトレーションテスト

田中は、ここにおいてセキュリティ施策の一つとして、制御システムに対するペネトレーションテストを経験する。

コラム：ペネトレーションテスト（侵入テスト）とは

ペネトレーションテストは、実際の攻撃者の視点でシステムの脆弱性を検査する手法です。専門のペネトレーションテスター（ペンテスター）が、サーバへの侵入や被害の発生を目指し、システムに対して様々な攻撃を試み、セキュリティ上の問題点を洗い出します。

これにより、潜在的なリスクを把握し、適切な対策を講じることができます。重要インフラにおいても、ペネトレーションテストは重要なセキュリティ施策の一つとなっています。

ただし、攻撃してよい対象範囲を事前に調整したり、被害発生を目指しますが実被害は出さずに寸止めでテストを止めるなど、テストの実施には高度な技術力が必要となるのはもちろんのこと倫理観も求められます。

サイバーディフェンス研究所のペンテスターたち

ここで初めてサイバーディフェンス研究所のペンテスターと出会う。

テストのためにやって来たサイバーディフェンス研究所のペンテスターたちは、自由な雰囲気にあふれていた。彼らは、それぞれの技術を駆使して知らないことでもすぐに調べて立ち向かっていた。何より技術に真摯でとても楽しそうであった。

通信パケットをキャプチャしての解析、サーバに侵入しての探索やソースコード解析、短期間でオリジナルのツールを作成してテストを進めていく様は、知らない技術にあふれており、これまでトラブルシュートで解析を行ってきた田中にとっても新鮮で興味深いものであった。

一般にシステムが巨大になればなるほど、一人の技術者が理解できる範囲も限られてくるものである。それを考えた時に、短期間でこれらの解析を行う彼らの調査・解析能力は、トラブルシューターとしても最高峰であろう。

攻撃者の視点での学び

このときに発見された弱点である個別の脆弱性を紹介することは、ここでは省略させていただく。

田中は、システム開発者の立場としてセキュリティ対策を施してきたが、インシデント対応をしてきたわけでもなく、詳細な攻撃手順に関する知見は乏しかったため、攻撃者の視点（手法）でのテストにより脆弱性が発見されていくことで、どのような対策が有効で、どこに対策の盲点があるかが明らかになっていくことは、とても勉強になることであった。

それは、脆弱性診断ツールでのチェックとは別ものであり、実際にペネトレーションテストを受けてみないことには分からないことだと思った。