Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

隠すセキュリティ

「隠すセキュリティ」はセキュリティの分野では古き良き対策と思われがちで、企業(防衛)側があまり「隠す」事を重視しなくなってきている気がします。

gigazine.net

システムやアルゴリズムの構造を秘匿することでセキュリティを高める「隠ぺいによるセキュリティ(Security by Obscurity)」は、現代では本質的な安全性を確保できていないとされています。しかし、セキュリティの専門家であるUtku Şen氏は「隠ぺいによるセキュリティは過小評価されていると指摘しています。
(中略)

脆弱性のあるシステムを攻撃者から隠すことでセキュリティを高めようとする「隠ぺいによるセキュリティ」は、ひとたびシステムの構造が外部に漏れると攻撃を防ぐ手だてがないことから、現代では効果のないセキュリティ対策とされています。数多く存在するオープンソースのソフトウェアがセキュリティを担保できているのは、隠ぺいによるセキュリティに頼っていないからと考えられているわけです。

Gigazine記事より引用)

 

キタきつねの所感

私は「隠すセキュリティ」は有効なセキュリティ対策の手法だと考えています。勿論、この対策を極めても日々進化する攻撃を完全に防御できる訳ではありませんので、効果が無いと考えるセキュリティ関係者が多い事も間違ってはいません。

 

しかし「攻撃のヒントを与えない」事や、「攻撃側が面倒だと思わせる」事によって、APT攻撃を受ける様な重要資産でも内部に保有していなければ、一定の防御効果はあるのが「隠すセキュリティ」だと思うのです。

 

記事では以下の様な例を挙げています。

例えば、サーバーへのSSH接続に「デフォルトの22番ポート経由で、『123456』のパスワードを設定しているrootユーザー」を利用している場合、サーバーが総当たり攻撃を受ける可能性は非常に高いですが、使用するポートを22番から64323番に変えて「隠ぺい」することで、攻撃を受ける機会を減らすことが可能であるとのこと。

Gigazine記事より引用)

 

攻撃者が全てのポートをスキャンするのであれば不正侵入が成功してしまう可能性は高くなりますが、22番ポートが閉じている場合、他に脆弱性が無ければ攻撃者は「次の候補企業」に向かう可能性が高くなります。

 

「面倒くささ」が重要なポイントなのだと思います。

 

iPhone等では、パスワードを間違えるとロック時間がだんだん長くなりますが、これも悪意を持って攻撃する側からすれば、なかなか侮れないセキュリティ対策と考える事ができます。他にもWifiSSIDを隠すのも(効果のほどはさて置き)隠すセキュリティの典型例と言えるかも知れません。

 

他にもあります。たまに出会うのが以下の様な「サーバーエラーメッセージ」です。

 

f:id:foxcafelate:20200920173006p:plain


”私はこのバージョンのソフトを使っています”、といった情報をエラー画面で吐き出すのは、実装の仕方としてはあまり良い事ではなく、攻撃者はこうした情報から、例えばこのApacheのバージョンが古いから●●の脆弱性が攻撃に使える、といったあたりをつける事ができる場合があります。

※こんな事は常識だと思う方も多いでしょうが、意外とデフォルトのままにエラー画面を設定しているサイトも見かけます。

 

「隠すセキュリティ」は何もインターネット(論理)に絡んだ部分だけではありません。物理セキュリティでも同様です。セキュリティのコンサルとして助言する事もあるのが、例えば施設内の「フロアマップ」です。

 

企業や工場内の施設で施設の目立つ所にフロアマップが貼られているケースがあります。普通のオフィスならあまり気にすることはありませんが、重要資産がある施設の場合は、フロアマップ自体を外部の目に触れる所に掲載しない、といった事も、攻撃者にヒントを与えないという点では重要な事だと思います。

 

極端な例で言えば、銀行の支店に入って「金庫室はコチラ」と書かれた標識を見かける事もないかと思います。外部(内部)の悪意のある人が、重要施設の位置が分かってない場合、そこを調べる事からスタートしなければいけなくなります。

こうした「面倒くささ」が従来のセキュリティ対策(例えばIDゲート)の効果を高めるのかと思います。

 

セキュリティ関係の方は、「隠すセキュリティ」を過小評価する事なく多層防御の1つとして再認識して頂けたらなと思います。

 

「隠すセキュリティ」にカテゴライズされそうなセキュリティ対策は、まだいくつもありますが、長くなりそうなので、どこかできちんとしたレポートにまとめられたらと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 シャッター通りのイラスト

 

更新履歴

  • 2020年9月19日 PM(予約投稿)