サイバー犯罪者が「攻撃する気がなくなる」セキュリティの条件とは？：“正義のハッカー”に聞くリスクと対策【番外編】

システムのインフラがオンプレミスでも、クラウドサービスであっても、基本的なセキュリティ対策の考え方は変わらない。むしろ攻撃者視点に立てば、基本の徹底こそが有効なセキュリティ対策になる。

[大久保 心織，TechTargetジャパン]

　セキュリティ対策を考える上では、システムが稼働するインフラがクラウドサービスか、オンプレミスかといったことではなく「変化のさなかにあるかどうか」が重要だということは、本連載のこれまでの記事でお伝えしてきた通りだ。「システムの変化時に生じやすい脆弱（ぜいじゃく）性を狙う」という攻撃者の行動原則が変化しない限り、インフラの構成要素がいくら変わろうとも、セキュリティ対策の基本的な考え方は変わらない。

併せて読みたいお薦め記事

技術変革とセキュリティ

• 「クラウドの設定ミスで情報漏えい」はなぜ起こるのか？　取るべき対策は
• 「キャッシュレス」「5G」「AI」のセキュリティリスクとは？　対策を整理
• 「ゼロトラストセキュリティ」とは？　クラウドが求めたセキュリティモデル

攻撃者の意図を探る

• 企業が「ホワイトハットハッカー」を採用すべき、これだけの理由
• ハッカーの意図を読め　セキュリティ防御にCDP活用という選択肢

　日立ソリューションズでホワイトハッカーとして活動する米光一也氏は、基本的なセキュリティ対策を徹底することで、攻撃者のやる気をなくさせる効果があると強調する。それはどういうことなのか。

攻撃者が「やる気をなくす」対策と「やる気になる」対策の違い

　例えば攻撃者が侵入の足掛かりを探す段階で社内LANを調べたとする。このときファイアウォールが、外部関係者とのデータ送受信用サーバが開放しているポートへのアクセスなど、必要最低限のデータ伝送のみ許可している状態はセキュアだと言える。「こうした状態は攻撃者に『きちんと対策しているな』と思わせることができ、攻撃者のやる気をなくすことができる」と米光氏は説明する。逆に「アカウントのIDとパスワードが同じ」「アカウントのパスワードがエンドユーザーの名字に適当な数字を付けたもの」といったおざなりな状態は、攻撃者をやる気にさせるという。

　攻撃者が狙い目にするという、「脆弱（ぜいじゃく）なパスワード」をエンドユーザーが設定していないかどうかにも注意すべきだ。「『password』というパスワード」「『asdfgh』のようにキーボードに並んだ文字をそのまま打ち込んだパスワード」などがそれに当たる。パスワードの使い回しもアカウント侵害のリスクを高める一因になる。

　エンドユーザーによるパスワード設定に対して「特定の文字列の利用を禁止する」「英字、数字、記号の3種類を必ず利用する」「異なるアカウントで同一パスワードを設定できないようにする」といったポリシーを設けることで、これらの行為を抑制することが可能だ。エンドユーザー1人が利用する複数アプリケーションのアカウントを一元管理する「統合ID管理」製品や、1回のログインで複数アプリケーション・サービスへのログインを可能にする「シングルサインオン」（SSO）製品には、そうしたポリシーに準じたパスワード設定をエンドユーザーに強制できる機能を持つものもある。

　攻撃者は記号や数字などさまざまな文字を含む、複雑で文字数の長いパスワードを嫌悪する傾向がある。総当たり攻撃の試行回数を増やさなければならないためだ。一方で過度に複雑で長いパスワードを設定してしまうと、エンドユーザーが思い出せなくなったり、付箋にパスワードを書いて机上に貼ってしまったりといった高リスクの行為につながりやすい。従って「『複雑で覚えにくいが、短いパスワード』よりも、『適度に複雑で覚えやすい、長いパスワード』の方が望ましい」と米光氏は述べる。例として「6ryt5(uQ」のようなランダムな8文字よりも、「DogNekoBirdHorse」のような英単語や日本語のローマ字表記を組み合わせた16文字の方が好ましい。記号や数字などの異なる文字種を組み合わせるとさらに強力なパスワードになる。

---

　企業ITのトレンドは今後も移り変わり続けるだろう。それに合わせてさまざまな製品・サービスを導入する際に、「移行段階だからといってセキュリティを緩める」のではなく、「移行段階だからこそセキュリティを強化する」という意識は不可欠だ。移行が終わった後もセキュリティ対策を継続することで、どの段階においても脆弱な「壁の低い部分」を作らないことを心掛けたい。