Tripwireは2このほど、「A Scary Story of Group Policy Gone Wrong: Accidental Misconfigurations|Tripwire」において、セキュリティ侵害はサイバー攻撃に限らず従業員の些細なミスでも発生するとして警告した。Windowsグループポリシの設定において、わずかな変更によりセキュリティ対応能力が大幅に損なわれた事案を取り上げている。

  • A Scary Story of Group Policy Gone Wrong: Accidental Misconfigurations|Tripwire

    A Scary Story of Group Policy Gone Wrong: Accidental Misconfigurations|Tripwire

Tripwireによると、問題が発生したシステムは、堅牢な監査ログを記録するなど厳格なセキュリティ対策を取っていた大規模なシステムだという。このシステムのセキュリティチームとシステム運用チームは脅威を防止するために、この監査ログに依存していた。ある日、このシステムの管理者はサーバのパフォーマンスを強化して運用を合理化するために、Windowsグループポリシ設定の一見無害な小さな値を変更したという。この変更は善意によるものであり変更の目的は達成できたが、その結果、ユーザーの活動やセキュリティイベントを監視する組織の能力が誰にも気づかれることなく損なわれていたとのこと。

その後、数週間が経過するとセキュリティチームは複数のサーバの監視ログが沈黙していることに徐々に気がついたという。事態を認識し調査すると、セキュリティインシデントを検出・調査・対応する組織の能力が著しく損なわれており、事態を正確に理解するための証拠もなくなっていた。

この事案では幸いなことに、堅牢なファイル整合性監視(FIM: File Integrity Monitoring)システムが導入されており、これにより収集された豊富なフォレンジックデータから問題を特定できている。その後、グループポリシ設定を以前の状態に戻すことでシステムは復旧している。

Tripwireはこの事案から、ログの重要性と、適切なツールがなければどんなに小さなエラーでも解明することは困難になることがわかると指摘している。また、ファイル整合性監視は重要なファイルや設定の不正な変更を検出することが可能で、ネイティブOSの監査が失敗する場合でも問題を検出できるとしてその有効性を評価している。

システムの運用において、セキュリティチームは監査ログだけに頼るのではなく、複数のソリューションを活用してシステムを監視し、外部からの攻撃や内部のミスなどによる脅威を回避、軽減できるように体制を構築することが望まれている。