自治体情報システム強靭性向上モデルに関する技術的要素について

CIO Contribution Sanitizer

はじめに

先日、ある会議において、サニタイザーに対する技術的要素についての質問を受け、意見交換を行ったのだが、短い時間であまり議論が収束せずに終わってしまった。

大変重要な議論だと個人的には考えているところなので、改めてこの件について考えてみたい。

無害化の定義

まずはここから考えてみよう。実は先日の会議においても、無害化の定義が公式に存在しないまま、無害化の方式について議論するという、少々厄介な状況が参加者間の意見の食い違いを生んでいるのだろうと想像できた。

会議の場では、暗黙のうちに無害化について、

  • テキスト、画像ならば安全
  • マクロの除去は必要
  • マイクロコード(おそらくシェルコードのこと?)の混入を忌避
  • 内部には完全に身ぎれいなものしか入れたくない

という前提で話があったのだが、セキュリティに関する議論の上では、限定的な情報はミスリードのおそれがあり、そのあたりは私も丁寧に整理しておきたい。

私の考えと前提となるリスク想定

まず私の考えについて整理しておこう。私の考えでは、

  • 「テキスト、画像なら安全」とは言えないが、得体の知れないバイナリファイルよりは制御しやすいという意味でリスクは低い。
  • マクロは直接的な実行のトリガーになり得るので、除去する方がリスクは低くなる。除去できない場合でも発現させない処理が望ましい。
  • シェルコードは論外だが、偽装化のレベルも向上しつつある現実を認識しなければならない。同様に発現させない工夫、発現した場合でも被害を最小限に抑える工夫は必要。

というものだ。

また、この考えの背景にあるリスク想定は、

  • 庁内の重要情報が流出しないこと。
  • 庁内の重要情報が破壊されて、業務継続不能に陥らないこと。
  • 一連の対策で庁内の資源を浪費させないこと。

というものである。つまり完全に不正なファイルの流入を防ぐという前提に立っていない。その理由は後述する。

Office Open XML形式(Office 2007以降形式)における無害化の根拠

Office Open XML形式はECMAで規格されたファイルフォーマットで、XMLベースのテキスト、オブジェクト等のファイルをZipでアーカイブして構成している。

http://www.ecma-international.org/publications/standards/Ecma-376.htm

その意味では、テキスト(XML)と画像で構成された文書ファイルと解釈することは可能だろう。

なお、Office Open XML形式におけるセキュリティ上の脅威の排除を目的としたファイルの操作(無害化)はマイクロソフトの下記リンクのアーティクルに基づいて行っていると推測される。

Office XML 形式を使用したソリューションの開発(MSDNライブラリ)

MSDN自体をオフィシャルな見解と捉えてはいけないのかもしれないが、サニタイザーでは具体的にファイルの操作(マクロやオブジェクトの削除)に関する考え方をそのまま実装している。つまり無害化処理の結果、テキストと画像による通信が行われている。これは他社製品も同様だろう。

また、上述したアーティクル中にも記載があるが、Office Open XML形式はそもそも不正コードが混入できない構造となっているとのことで、リスクはかなり抑えられているのではないかと考える。

OpenDocument形式(ODF)における無害化の根拠

OpenDocument形式はOASISが標準化したドキュメント形式であり、ISO 及び JIS(JIS X 4401)の標準規格に認定されている。

http://docs.oasis-open.org/office/v1.2/OpenDocument-v1.2.pdf

このOpenDocument形式もXMLベースのテキスト、オブジェクト等のファイルをZipでアーカイブして構成している。つまり、Office Open XML形式と同様にテキスト(XML)と画像で構成された文書ファイルと解釈できる。

サニタイザーはOffice 2003形式のファイルについて、ODFにファイルコンバートした上で、ファイルの操作(マクロやオブジェクトの削除)を行っている。つまり、テキストと画像による通信がここでも行われている。

画像とテキストなら安全なのか?

とは言うものの、テキストと画像だから安全とは言えない事情がある。

画像ファイルにおける脅威

画像ファイルならば安全という考え方は誤りだ。事実、画像の中にコードを埋め込む「ステガノグラフィ」によるエクスプロイキットの存在が指摘されている。

ステガノグラフィの手法を駆使するエクスプロイトキット「Sundown EK」を確認(トレンドマイクロ)

技術的には詳しく書けないが、サニタイザーはいくつかのアルゴリズムによるステガノグラフィ対策を施している。ただステガノグラフィは巧妙さを増してきているため、100%対策できるとは言えない状況である。

テキストファイルにおける脅威

テキストファイルも安全とは言い切れない。Windowsで実行可能な、VBS(Visual Basic Script)や、PowerShell Script は形式上ではテキストファイルであり、難読化やパック化したスクリプトをペイロードとした事例が最近多く報告されている。

そもそも標的型攻撃において、マルウェアが単一のファイルであると思いこむ(一般の利用者はそのイメージが根強い)ことが間違いのもとで、時間を掛けて少しずつ攻撃用のファイルを送り込み、連携して発現させることは不可能ではない。

なお、サニタイザーは「テキストファイルだから安全」という考え方をそもそも有しておらず、テキスト形式と言えど単純に起動させないような仕組みを付加している。

もっとも、ソーシャルエンジニアリングや内通者などの作為により、この仕組みが破られるリスクは十分認識しておくべきだろう。その意味で、本当のリスクはセキュリティマネジメント側にある。

判りやすい基準を決めて手っ取り早く安心したい気持ちは理解できるが、セキュリティは弱いところからほころび始める。対策はそれほど生易しいものではないようだ。

前提となるネットワーク構成の違い

無害化ソリューションにどの程度信頼を置くかについては、ネットワーク構成を含めて検討しなければ意味がない。これは案外見過ごされがちなポイントだ。先日の会議で、なぜ議論がかみ合わなかったのか、今考えてみるとこういうことなのだ。

私が関与する自治体の場合

私が関与する自治体(都道府県1ヶ所および基礎自治体1ヶ所)では、総務省の強靭性向上モデルのとおりネットワークを3つに分割して運用している。便宜的に重要な情報が配置されるセグメントから順にレベル1、2、3と名称をつけており、レベル3はインターネットに、レベル2はLGWANにつながっている。(レベル1は情報提供ネットワークシステム以外とは接続がない)

ネットワーク分割されているため、業務遂行のためには各セグメント間のファイルの受け渡しが必要になる場面が出てくる。その際に用いられるのが無害化ソリューションだ。

また、職員が普段利用しているセグメントはレベル2である。つまり、インターネットとも繋がらず、セキュアな情報(マイナンバーとか)にもそのままではアクセスできない仕組みだ。一般的な職員はレベル2の中で業務を遂行する。

上述したとおり、リスク想定は、

  • 庁内の重要情報が流出しないこと。
  • 庁内の重要情報が破壊されて、業務継続不能に陥らないこと。
  • 一連の対策で庁内の資源を浪費させないこと。

であり、レベル3→レベル2の無害化への配慮も大切だが、それよりも、レベル2→レベル3の情報流出をいかに防ぐかにあると考えている。

なぜならば、レベル2の情報であっても、入札情報や契約情報、行政の意思決定に必要な情報など、取り扱いに注意すべき情報が多く含まれているからだ。重要情報というと個人情報ばかりに関心が集まっているが、攻撃者の意図を考えると、それに限定するのは危険な気がする。

別の自治体の例

ところが、別の自治体(例えば議論してくださった自治体)はこの前提が異なる。

ネットワークを分割しているところは同じはずだが、職員が普段利用するセグメントをインターネット系(レベル3)に設定しているらしい。

これ自体はその自治体のポリシーなので、私がとやかくいう筋のものではないが、インターネットに普段接続している端末が大多数ならば、その奥にあるレベル2の扱いは慎重にならざるを得ない。当然、無害化ソリューションの立ち位置も異なってくるだろう。

結果的に、無害化ソリューションによる水をも漏らさぬ鉄壁の防御を築きたくなる気持ちも理解できる。まぁこれもアリなのでしょうね。

で、レベル2で何を守っているかといえば、(聞くところによると)LGWANなのだそうだ。

ただ、LGWANがセキュアであるというのは、今となっては共同幻想に近く、ギリギリ言えば、

トラストだけどセキュアではない

ということになる。その延長線上で考えるのなら、「LGWANを守る」というよりも、「LGWANからレベル2ネットワークを守る」方が自然だと思うのだが、そのあたりは私の考えが古いのかもしれない。

ところで、素朴な疑問があるとすれば、庁内情報の大半がレベル3にある状況で、情報流出への備えはどうしているのだろうか。ここでセキュリティクラウドが活躍するのだろうか。今度機会があったら尋ねてみたい。

 

 

photo by: kevin dooley

« »