施設セキュリティ（PE/MA）とメディア管理（MP）の重要性

前回はNIST Cyber Security Frameworkにおける「対応/復旧」を司る、インシデントレスポンス、C-SIRT^※1/P-SIRT^※2についてIR^※3ファミリーを用いて解説した。これまでの連載でITシステム周りの話は出尽くしているため、本記事と次回の記事では、施設セキュリティ（PE^※4/MA^※5）、メディア保護（MP^※6）、人的リスク管理（PS^※7/AT^※8）を取り扱い、非IT的観点からセキュリティを語る。

論理的な防御機能に加えて、物理的な防御も極めて重要な要素としてCSFやSP800-53では扱われている。サイバー攻撃が高度化・巧妙化する現代において、物理的な脅威は意外と見過ごされがちであるが、実はまだまだ現役の攻撃手法なのである。

^{※1 C-SIRT：Corporate-Security Incident Response Team（コンピューターセキュリティに関するインシデント対応組織）
※2 P-SIRT：Product-Security Incident Response Team（プロダクトの脆弱性に関するインシデント対応組織）
※3 IR：Incident Response（インシデント対応）
※4 PE：Physical and Environmental Protection（物理的および環境的保護）
※5 MA：Maintenance（保守）
※6 MP：Media Protection（メディア保護）
※7 PS：Personnel Security（人的リスク管理）
※8 AT：Awareness and Training（意識向上とトレーニング）}

本格的なサイバー攻撃を成立させるにあたって、見過ごされがちなのが「物理的侵入」である。攻撃者は必ずしもネットワーク経由でのみ侵入を試みるわけではない。例えば、清掃員や配送業者、修理業者などになりすまして施設内に侵入し、重要なサーバーやワークステーションに直接アクセスしようとする。場合によっては、施設内に小型の盗聴機器やネットワーク侵入デバイスを設置し、長期間にわたって情報を窃取し続ける巧妙な手法もある。執筆時点で話題となっている標的型攻撃においても、初期侵入の足がかりとして物理的アクセスが利用されるケースが増加している。さらにレベルの高い攻撃者になれば、施設の設計図や警備システムの仕様を事前に調査し、死角を利用した侵入や、警備システムの迂回など、映画さながらの手法を用いることもある。

このような書き出しを見ると、「映画のような話だ」と普段の業務との乖離を連想させるが、内部脅威と捉え直せばさほど遠い話ではないのである。実際、サイバー攻撃者の最初の目的は、任意にシステムを操作できるようにすることであって、インターネット越しに攻撃しようと思うからこそ、専門的な知識が必要なのである。しかし、貴方自身や職場の同僚を思い浮かべれば、専門的なサイバー攻撃に関する知識が無い（ある方もいるかも知れないが・・・）にも関わらず、企業のシステムを操作できている。会社に対して反感を持った社員というのは、時としてどんなに熟練したサイバー攻撃者よりも大きなダメージを会社に対して与えられる脅威となるのである。以降の文章はあくまで外部脅威と内部脅威を混ぜて書いているが、前述のような内部脅威の視点を持って見ていただくのが良いと思う。

実際にどのような方法で物理的な防御を固めるのかといえば、入退室管理と区域管理にほかならない。

入退室管理とは、施設やデータセンターなどの重要な区域への入室者を適切に管理することである。例えば、ICカードやバイオメトリクス認証（生体認証）を用いた入退室ゲートの設置、訪問者の身分確認と同伴者の設定、入退室ログの記録と定期的な監査などが挙げられる。

また、区域管理においては、情報の重要度に応じて施設内を適切に区切り、それぞれの区域に対して適切なアクセス制御を実装することが必要である。意外にも中小企業から大企業まで、「フリーアクセス」な施設が存在しているが、これは物理的アクセス制御という概念を根底から破壊する最も危険な状態だと言って過言ではない。最低限この部屋は入退室管理を徹底し、アクセス制御を掛けるべきであるという区画の意識を持ち、まずは一部屋そういった区画を作ってみるところから始めるべきである。

筆者が遭遇した中で最もドラマチックだったのは、とある投資銀行のトレーディングルームにネットワークスニファー（盗聴器）が設置されていた例である。犯人はすでに退職した総務部員であり、退職前にトレーディングルームに侵入し、密かにネットワークケーブルに特殊な端末を繋げたのである。驚くことに総務部員全員がトレーディングルームへの入室が可能な状態であった。

中小企業はもっとダイレクトで、解任決議をされた直後の元役員が、激昂し、そのままサーバールームへ直行して破壊行動をしたという話もある。いかにIT的にセキュリティを充足させていたとしても、緊急時に物理的アクセス制御が施されていないというのは極めて重大な結果をもたらすのである。

前述したのが、CSFで言うところの「特定」「防御」に当たる。いかに侵入されないかという視点である。

次に、物理的環境の監視について記述する。つまり、区画制御を実施するのみではなく、施設の物理的な状態を常時監視し、異常を検知した際に適切に対応するための仕組みについてである。主に「監視カメラ」「入退室センサー」「環境センサー」がこれに該当する。最も基本的な例は、重要なサーバールームなどの部屋に設置する監視カメラシステムによる24時間監視である。ただし、単純な監視カメラの設置だけでは、昨今の巧妙な攻撃には対応できない。そこで効果的なのが温度・湿度・水漏れを検知する環境センサーである。サーバーの稼働環境を監視し異常時には自動的にアラートを発生させる仕組みや、振動センサーによる不正な機器の取り外しの検知などを組み合わせることで、飛躍的に物理的攻撃を検知する可能性を向上できる。攻撃者が物理的に侵入しようとする場合、環境監視が実装されていれば、攻撃者は監視システムの迂回やセンサーを無効化する必要が生まれ、極端に攻撃コストが肥大化することになる。これが俗に言う多層防御の物理的側面である。

ちなみに前述した投資銀行のネットワークスニファーの存在を検出できたのは、ネットワークの監視に加えて、個人が特定できるくらいに鮮明な常時監視カメラが設置されていたからである。最近は、サイバー攻撃によってエアコンのシステムを不正に操作して、サーバールームの空調を冷房から暖房に切り替え、パフォーマンスを低下させるなどの攻撃も存在する。特に中小企業は常時サーバールームに人がいるわけでもないため、注意が必要である。

保守作業においても、高権限は攻撃者や内部犯行者にとって蜜の味。権限を最小化する管理が必要となる。

保守作業は、システムの安定稼働のために必要不可欠な業務であるが、同時に重要なシステムへのアクセス権限を外部業者に付与することでもある。そのため、保守作業者への権限付与は、最小限に留めることが求められる。高権限な保守作業者が1名存在していて、その作業者が悪意を持たないように監視するというのは、現代のサプライチェーン攻撃を甘く見積もりすぎている戦略と言える。そうではなくて、保守作業の内容や対象システムによって細かく権限管理をし、それらに合わせた最小の権限が付与されていることの方が、内部脅威やサプライチェーン攻撃を前提とした現代のサイバー攻撃対策として有効であるということである。

このような保守作業管理と最小権限の原則を適用するには、当然であるが自社の情報システムが重要度や機密性などの基準により分類されている必要がある。そうでなければいくら保守作業手順上で権限管理をしたところで、制御が追いつかないということになる。中小企業向けに言えば、ITインフラの物理的保守作業を担当させる社員を限定すべきではないということだ。一人情シスなどというとんでもない言葉がばっこする中小企業界隈では、たった一人の社員の技術力と倫理観に、会社の命運が託されていると言っても過言ではない。

SP800-53では情報媒体の適切な管理を重要な制御要素として位置づけている。初版発行は2005年であるが、今から思えば現代のデータ保護の基礎を築く考え方である。MP-1からMP-8では「Media Protection（メディア保護）」なる概念が詳細に定義されている。一度でもNIST対応を実施したことがある人は、紙媒体からUSBメモリーまで、あらゆる情報媒体の管理に頭を悩ませたことがあるかもしれない。

NISTにおけるメディア保護とは、大まかに言えば以下の2つが主要素となる。

媒体のライフサイクル管理情報媒体の分類方法において強く推奨されているのが「情報の機密性に応じた媒体の分類とラベリング」である。論理的な分類のみだと、物理的な媒体の紛失や盗難に対応しきれないからだ。また「媒体のライフサイクル管理」について考えるにあたっては、SP800-53が情報保護のためのフレームワークであることを起点に考えればよい。

つまり、情報媒体の作成から廃棄まで一貫した管理プロセスを確立し、各段階で適切な保護策を講じることが求められるということだ。ただし、ここがメディア管理最大のポイントなのだが、重要な情報を含んでいない媒体であっても適切な管理が必要な場合がある。ものすごく簡単に説明すれば「"重要な情報を含む媒体"を攻撃するための足がかりとなる媒体になりえる」ということになる。つまり、雑多なUSBメモリーが拒絶され、許可されたUSBメモリーしか扱えないようなシステムでは、内包するデータの中身に関わらず、許可されたUSBメモリーということ自体に大きな価値があるということだ。

物理的アクセス制御、メンテナンス管理、メディア管理の体制が固まれば、それらが適切に運用されているかの物理的ログを取得する必要がある。

セキュリティとガバナンスの関係性についての記事でも触れたが、現代のサイバー攻撃は、攻撃されること、物理的な侵入や内部脅威が発生することを前提にする必要があり、だからこそ物理的な活動ログの取得をはじめとするガバナンスが非常に重要なのである。最近では取得した物理的ログをリアルタイムで分析して、施設内で何が起きているのかを即座に可視化できるPhysical Security Information Management（PSIM）製品なども発達してきた。

このように物理的ログの取得とは入退室記録、監視カメラ映像、環境センサーデータなどを記録し、検証することで「一連の物理的行動の怪しさ」を定義することに使用される極めて重要なインプットなのである。攻撃者からすれば、厄介極まりない存在である。そのため、物理的ログを取得活用する際には、ログ自体のバックアップや保護を忘れてはいけない。例えば取得した映像データや入退室ログを一定間隔で外部のセキュアなストレージに転送するなどが求められる。一流の攻撃者であればあるほど、物理的証跡の隠滅が上手いのである。監視カメラを無効化するだけならまだしも、巧妙に映像を改ざんするなどし、インシデントレスポンスを妨害/ミスリードする。物理的ログの取得と保護は、CSFにおける全てのフェーズにおいて活用できる基礎中の基礎と言える。

本記事で紹介した「施設セキュリティ（PE）」「メンテナンス（MA）」「メディア管理（MP）」は、まさにゼロトラストの物理的側面での実装である。インシデントレスポンスとC/P-SIRTについての記事ですでに触れたように、ゼロトラストでは論理的な認証・認可に加えて、物理的な側面からも「Never Trust, Always Verify」の原則を適用する必要がある。つまり、物理的なアクセスについても厳格な本人確認の実装に加え、あらゆる物理的ログを精査し、入退室後の動きを追跡しながら「怪しさ」を図り、それに合わせて動的に物理的アクセス制御の認可と施設内の動的な制御を行うことなのである。つまり本記事に記載されている要素を理解しないままゼロトラストを導入しても、物理的な脅威に対して無防備になってしまうということである。

しかし逆説的に言えば、ここに記したことを一つ一つ手で実装するよりは、一足飛びに統合的な物理セキュリティ基盤に乗ってしまうというのもありなのである。中でも中小企業であれば、クラウドベースの物理セキュリティ管理システムとIoTセンサーの組み合わせで十分に実装することができるだろう。重要なのは、論理的なセキュリティ対策と物理的なセキュリティ対策を統合的に捉え、包括的な防御体制を構築することである。

次回は、人的リスク管理（PS/AT）について解説する。

次回の記事はこちら↓