SolarWinds で明らかになった脆弱なセキュリティ対策から組織が学ぶべきこと
2020 年 12 月 18 日
SolarWinds の今回の大規模なインシデントは、不可欠なインフラストラクチャに潜む重要な側面を我々に思い出させます。それは、ヒューマンエラーです。セキュリティの基礎的な対策を確実に実施するために、標準、手続き、プロセスなどが存在しています。これは、組織がセキュリティのベストプラクティスを実施するために従うべき、明確な手順として用意されているものです。しかしテクノロジにおける課題は、それが人間によって開発されたものであり、かつ人間は不完全である、ということです。人間が犯すミスは偶発的に起きるだけではなく、監視が不十分に届かない環境で何かの処理をショートカットしようとしたことが結果として脅威につながる場合もあります。
その代表的な例は、セキュリティ研究者の Vinoth Kumar 氏(@vinodsparrow)が発表したものです。彼は 2019 年 11 月に、公開済みの SolarWinds の GitHub リポジトリ上で平文の FTP 認証情報を発見しました。The Register にコメントを求められた際、Kumar 氏は以下のように述べています。
公開済みの GitHub リポジトリに流出していたパスワード『solarwinds123』を使用して SolarWinds のアップデートサーバにアクセスできました。SolarWinds は問題を修正した上で 11 月 22 日に返信してきました
Kumar 氏は、2019 年 11 月に起きた出来事に言及しています。
設定エラーやアクセスエラーは、どのような組織でも発生する恐れがあります。Kumar 氏のようなセキュリティ研究者は、これからもバグや脆弱性を発見し続けるでしょう。洗練された持続的標的型攻撃(APT)グループや、組織化されていないハッキング集団も、これらの脅威を悪用する可能性があります。残念なのは、SolarWinds は、以前から十分な機会があったにもかかわらず、セキュリティ対策を改善しなかったことです。企業の中心で利用される最重要のソフトウェアを提供している企業として、SolarWinds は製品の完全性を守る責任があったはずです。
マルウェアが混入したアップデートソフトウェアがベンダによって提供されて混乱が起こる、というケースは、決して珍しいものではありません。同一のベンダ 1 社に依存している組織は数多くあります。このことが、SolarWinds と同じような立場にありながら、セキュリティへの投資を怠っている可能性のある企業への警鐘となることを願っています。投資は適切であるにもかかわらず、有効に活用されていない場合もあります。脆弱なパスワードや脆弱なサーバは、その企業、ひいては製品に依存しているすべての企業を危険にさらすことになります。
組織のセキュリティ姿勢を改善する万能の解決策はありません。それは、個人、チーム、企業文化にかかっています。それぞれが倫理観や方向性を持ち、パスワードの複雑さなどの細かい部分に関わる個人の意思決定を、会社の文化ややり方に合わせることが重要です。