「カジュアルなシステム管理者」の増加で加速する「シャドーIT」化に注意

近年、企業でも個人でも、インターネット上に簡単にサーバを構築し、情報発信やサービスを提供できるようになってきています。特に、パブリッククラウドサービスについては多くのクラウドサービスプロバイダーがサービス提供価格を競っており、インターネット上にサービスを公開する側の利用者としては、安価にサービスを提供し始められる環境が整ってきています。

最近の傾向を見ると、従来のIT部門ではなく、サービスの企画部門がトライアルも兼ねて、スピードやコスト重視でクラウドを活用しサービスをスタートさせることが比較的多いと感じています。

そこで、問題になるのが、セキュリティのリスクを正しく理解していない、あるいは、セキュリティの専門知識がない「カジュアルなシステム管理者」の存在です。
「カジュアルなシステム管理者」は、システムを構築する際のコストに、セキュリティ対策費用を考慮しないことが多いと考えます。特に、運用フェーズでのセキュリティ対策費用を軽視しがちです。CA Veracodeが発表したレポートによると、重大な脆弱性が公表された後も25％の企業では290日経過後もパッチ適用などの修正が行なわれないといった深刻なデータがあります。

そうした状況では、以下のような事象の発生が懸念されます。
まず、サービス提供のために使用しているOSやソフトウェアの脆弱性に対し、適切な対策を実施しなかったことにより、サービスを実施しているサーバが乗っ取られ、機密情報が盗まれたり、マルスパム（malspam）やエクスプロイトキット（exploit-kit）から誘導されたバンキング・トロージャン（Banking Trojan）やランサムウェアを配信するための攻撃デリバリインフラ（Emotet, Trickbot）の一部になってしまっているケースなど、様々なインシデントの発生が懸念されます。攻撃の踏み台となった場合、被害者の立場から一転して加害者になります。

特にOSS（Open Source Software）の脆弱性が修正された場合、ソースコードが公開されていますので、何をどのように修正したか、旧版のソースコードと比較すると差分が一目瞭然です。その差分の情報から容易に攻撃手法が判明します。一方、OSSで無い場合も安心は出来ません。公開されたパッチをリバースエンジニアリングの手法で解析し、攻撃方法が判明します。一般的に脆弱性情報の公開から、遅くとも24時間から48時間で攻撃コードが公開される傾向にあります。

こうしたことから、サービスの提供者は、インターネット上に自ら公開している全てのサービスを漏れなく把握し、適切に管理・監視・運用しなければなりません。使われることのないサービス、または管理できないサービスは、サービスの終了を検討する必要があります。

また、脆弱性情報だけでなく、ソフトウェアのEOL（End of Life）情報にも十分注意し、サポートが切れるまでに新しいバージョンに切り替えられるよう適切に改修計画を立てるべきでしょう。

「カジュアルなシステム管理者」がクラウドを活用し、安易にサービスを開始することは、企業から見ればまさしく「シャドーIT」（注）に他なりませんし、企業のビジネスリスクそのものです。確実な把握とコントロールが必要です。

参考