野良サーバー対策完全ガイド ~お茶の水女子大学事例から学ぶ

2023年の春、経済産業省から、組織が攻撃面（Attack Surface）を管理していくための手引きであるASM（Attack Surface Management）導入ガイダンスが公開されました。これは、組織が直面する公開IT資産への攻撃が増加している現状を背景にしています。

このような攻撃に関する最新の事例として、国立大学法人お茶の水女子大学が2024年4月2日に公表した不正アクセスの被害が挙げられます。このインシデントは、さまざまな組織が直面しているセキュリティ上の課題を浮き彫りにし、それに対処するための具体的な対策の導入検討が必要であることを示しています。

出典：https://www.ocha.ac.jp/news/d014455.html（2024年4月4日参照）

このブログでは、お茶の水女子大学の例を基に、組織がとるべき対策について解説していきます。

インシデントの概要

お茶の水女子大学の発表によると、2024年3月に大学が運用する研究室の計算用サーバーが海外からの不正アクセスを受け、攻撃の踏み台とされた事案が明らかになりました。この不正アクセスは、サーバー構築時に設定された「test」というユーザーの脆弱なパスワードと、適切なセキュリティ対策が施されていない状態でのインターネット公開、SSHリモート接続の許可が原因であるとされています。インシデントの発生が報告された時点で、該当サーバーは既にネットワークから遮断され、個人情報の漏洩は確認されていません。

出典：https://www.ocha.ac.jp/news/d014455.html (2024年4月4日参照)

野良サーバーの問題

お茶の水女子大学での事例に見られるように、管理部門の目の届かない場所で運用されていた野良サーバーが原因となるケースは少なくありません。学校法人だけでなく、様々な組織で現場部門やグループにより独自に構築されたIT資産が頭痛の種になっています。

組織内における野良サーバーの問題は新たなトレンドの１つ、というものではありません。従来から、シャドーITとして数多くの組織で野良サーバーの対応が課題となっております。
野良サーバーが抱える問題やリスクは多岐にわたりますが、今回は特に3つのポイントに焦点を当てます。

セキュリティリスクの高さ

管理部門の管理範囲外であるため、組織のセキュリティ基準に準拠した対策が講じられていない可能性が高いです。資産管理製品やアンチウイルス製品、EDR製品などのセキュリティ対策が導入されていない、古いバージョンのOSやソフトウェアを利用している、不適切なアカウント設定や端末設定が施されているなど、様々な形でセキュリティが弱まっている可能性があります。これらの状態がサイバー攻撃を受ける原因となり、被害を拡大させるリスクが高まります。

有事の際の対応に遅れが生じる

当該サーバーが関与するサイバー攻撃が発生した際には、確実に対応の遅れが生じます。組織が認識していない資産であるため、その特性や保持している情報を把握するところからの調査が必要となり、時間との戦いであるインシデント対応において大きな障害となります。

攻撃者の標的にされる

ここまで記述した２つのポイントについて、攻撃者の視点で考えてみてください。攻撃を行う上でこれほど攻撃の成功率が高い資産は他にあまりないのではないでしょうか。

これらの理由から、野良サーバーの問題に対する意識と対策は、組織にとって避けて通れない重要な課題となっています。

組織が行うべき野良サーバー対策とは

簡単に導入できる野良サーバー対策としては、組織におけるルールの強化や報告の義務付けという方法が考えられます。しかし、IT環境の高度化に伴い、管理すべきIT資産の数は急速に増加しており、その全てを人の手で管理することには限界があります。短期間利用のような一時的なニーズに応じた資産も多く、報告漏れや管理ミスのリスクは避けられないため、より現実的な解決策が求められます。

解決の鍵は、システムによる自動的な監視メカニズムの導入にあります。このアプローチについて、このブログでは主に２つの方法を紹介しましょう。

組織内のネットワークへの接続制御の仕組みの導入

野良サーバーが組織内のネットワークに接続できないような制御を設けることは、防御策の一環として有効です。しかし、この制御の仕組みを組織全体に導入し、運用することは簡単ではなく、相当な労力と時間を要する作業となります。

野良サーバー検出システムの導入

野良サーバーを自動で検出するシステムの導入も有効な対策です。このようなシステムを活用することで、組織は予防的な対応を継続的に実施し、セキュリティリスクを低減することが可能になります。ただし、組織のネットワーク全体を完全に監視し、すべての野良サーバーを確実に特定することは容易ではありません。そこで優先すべきはサイバー攻撃に至るリスクが高い、インターネット上に公開されている野良サーバーを効率的に発見することです。

攻撃者がどのように組織の公開IT資産を探し出しているかを理解し、その視点を取り入れた検出システムを活用することで、野良サーバーを自動で見つけ出すことができます。こうした検出システムは、ASMプロセスの導入と密接に関連しています。ブログの冒頭で触れたASM導入ガイダンスに従うことで、組織はこれらの野良サーバーに対して迅速かつ効果的に対処できるようになります。このプロセスは既に多くの組織で実践されており、昨今の重要なリスク運用の１つとなっています。

まとめ

組織が直面する野良サーバー問題に焦点を当て、その対策について詳しく紹介してきました。実際に、今回事例として取り上げたお茶の水女子大学では、2019年にも研究室で管理されているサーバーに対する不正アクセスが原因のサイバー攻撃被害が公表されています。

参考：https://www.ocha.ac.jp/news/20200128.html

この事実が示すのは、野良サーバーの問題は非常に対策が困難だということです。しかし、2019年から現在にかけて、公開IT資産への対策の重要性が高まり、これを支援するソリューションが登場しています。

弊社では、組織の公開IT資産の管理/監視が可能なセキュリティ レーティングソリューションであるSecurityScorecard RatingsやASMソリューションであるMandiant Attack Surface Managementを取り扱っております。また、特に野良サーバーの場合にはクラウド上に構築されることも多く、そうしたクラウド環境内のIT資産管理や設定チェックに特化したクラウド運用基盤であるOrca Security製品の取り扱いもあります。

自組織の野良サーバー対策に関してお困りの方、これらのツール導入にご興味のある方は、ぜひ弊社までお問い合わせください。

また、本ブログ内で取り上げましたASM導入ガイダンスについては、こちらのブログで詳しく紹介をしております。ご興味がある方はご参照下さい。