security - PDF Free Download

セキュリティアセスメントのご提案 ~ 標的型攻撃に対するセキュリティ診断サービスについて~ 株式会社マイルストーンコンサルティンググループ平成 26 年 1 月吉日

セキュリティ対策に対する不安不正アクセスデータ持ち出し攻撃者 ( 内部犯 ) 不正アクセス DB 不正アクセスウィルス感染 Internet 攻撃者 DB 不正アクセス公衆網不正アクセス攻撃者攻撃者システムは常にインターネットインターネットから不正アクセスの脅威にさらされているまた社内にも不正アクセスをする内部犯がいる可能性がある (2009 年大手証券会社で内部犯によるデータ持ち出し事件が発生 ) 個々のセキュリティ対策は実施しているものの全体を俯瞰した時に実施した対策の充足度がわからない 1

サイバー攻撃による被害標的型攻撃にシフト 2

標的型攻撃の脅威 Step1: 初期潜入攻撃者 / 送信元インターネット C&Cサイト侵入初期攻撃 E-mailへの添付偽装ファイル Web(フィッシング) 外部媒体 (USBメモリー等 ) 他のサイトへ Step2: 攻撃基盤構築入口対策出口対策感染攻撃基盤構築バックドアを使った攻撃基盤構築コントローラとの通信 (HTTP, SSL, IRC 等でのC&C 通信 ) モジュール更新外部への踏み台 Botとして踏み台利用社内 PC Step3: システム調査社内ネットワークシステムへの感染脆弱性の悪用 AntiVirusの回避無効化ルートキット/RAT 導入システム/ 内部情報の取得内部情報 (ID/PASS,ネットワーク/ノード情報入手 ) 外部媒体ヘの書込み社内サーバ内部対策近接ノードへの侵入近くのPC/ PC/サーバへの侵入脆弱性の悪用入手した内部情報悪用既存権限の悪用 (Pass-the-Hash) Step4: 最終目的の遂行重要ノードへの侵入 < 組織の重要情報の窃取 > 重要情報の入手システムの破壊他社攻撃の踏み台重要サーバ etc 標的型攻撃にシフト 3

標的型攻撃を防ぐ対策対策箇所攻撃方法主な対策対策案入口対策内部対策メール添付によるマルウェア送信およびメール本文 (URLリンク)による不正サイトへの誘導ウイルスを混入させた不正 USBメモリの利用 ( 送付敷地内への放置など) マルウェア感染による内部侵入外部 C&Cサイトへの通信経路確立ウイルス感染による内部侵入の拡大不正メール対策 (ウイルス) GW 型アンチウイルスサーバ不正メール対策 ( 不正 URL) スパムメールコンテンツフィルタ Webアクセス制御不審メール対応 USBメモリ利用制限ウイルス感染対策外部 C&C 通信対策内部拡大対策 Webフィルタリング(URL) セキュリティに関する社内注意喚起標的型メール攻撃 ( 疑似訓練 ) Securityソフトなどによるデバイス制限運用ルールによる利用制限検疫ネットワークの利用 O/S ソフトウェアの脆弱性対策 (パッチ適用 ) 端末型アンチウイルスソフト導入認証 Proxyの利用 F/Wアウトバウンド制御 IPS/IDS によるアウトバウンド通信監視 Webフィルタリング (BlackListによる検知 ) ユーザーID 共有の禁止パスワードルールの設定特権ユーザーの利用制限出口対策重要データへのアクセスおよび情報の奪取重要データへのアクセス制御境界 F/Wの導入 (セグメンテーション強化 ) 境界 IPS/IDS 導入による不正コード検出運用管理者 ID 共有の禁止運用管理者 IDのパスワードルールの設定特権運用管理者の利用制限 2 要素認証の利用重要データの保護データ集中管理データ暗号化データ漏えい対策機器 (DLP)の導入 4

作業の進め方対策箇所主な対策対策案入口対策不正メール対策 (ウイルス) GW 型アンチウイルスサーバ不正メール対策 ( 不正 URL) Webアクセス制御不審メール対応 USBメモリ利用制限スパムメールコンテンツフィルタ Webフィルタリング(URL) セキュリティに関する社内注意喚起標的型メール攻撃 ( 疑似訓練 ) Securityソフトなどによるデバイス制限運用ルールによる利用制限検疫ネットワークの利用診断対象会社内部対策ウイルス感染対策 O/S ソフトウェアの脆弱性対策 (パッチ適用 ) 端末型アンチウイルスソフト導入外部 C&C 通信対策認証 Proxyの利用 F/Wアウトバウンド制御 IPS/IDSによるアウトバウンド通信監視 Webフィルタリング(BlackListによる検知 ) システムのドキュメント参照出口対策内部拡大対策重要データへのアクセス制御ユーザーID 共有の禁止パスワードルールの設定特権ユーザーの利用制限境界 F/Wの導入 (セグメンテーション強化 ) 境界 IPS/IDS 導入による不正コード検出運用管理者 ID 共有の禁止運用管理者 IDのパスワードルールの設定特権運用管理者の利用制限 2 要素認証の利用対策に不足がないか比較する担当者へのヒアリング重要データの保護データ集中管理データ暗号化データ漏えい対策機器 (DLP)の導入不足があれば優先度を決め対策を実施する 5

作業スケジュール作業内容担当 1Month 2Month 3Month 4Month 1. 診断マイルストーン/ 1-1.ドキュメント参照マイルストーン/ 3weeks 1-2.ヒアリング実施マイルストーン/ 2weeks 1-3. 報告書作成 1-4. 診断結果報告マイルストーンマイルストーン/ 2weeks 2.ベンダー選択 / 導入製品に応じて 3. 対策実施 / 導入製品に応じて 6

ヒアリング項目 (サンプル) No セキュリティ対策対策有無対策内容 1 不正メール対策 1-1 GW 型のアンチウィルス対策は実施しているか? シマンテックのGW 型アンチウィルスを導入済み 1-2 スパムメールコンテンツフィルターを導入しているか? 導入していない 1-3 Webフィルタリングは導入しているか? ifilterを導入済み 1-4 セキュリティに関する社内注意喚起を定期的に実施しているか? 必要時に随時実施 1-5 標的型メール攻撃の疑似訓練を実施したことがあるか? 未実施 7

セキュリティ診断結果 (サンプル) 1 侵入への対応最初に攻撃者は外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます送信方法には電子メールの添付ファイル URL URLリンクリンク USB USBメモリーがよく使われます STEP1: 初期侵入攻撃方法主な対策対策案対策優先度環境における現状現状における残存リスク不正メール対策 (ウイルス) GW 型アンチウイルスサーバ高導入済み( 型式 ) 未知のウイルスは検知できない攻撃者は外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます送信方法は電子メールの添付ファイル URLリンク USBメモリーなどがよくつかわれますメール添付によるマルウェア送信およびメール本文 (URLリンク)による不正サイトへの誘導不正メール対策 ( 不正 URL) Webアクセス制御不審メール対応ウイルスを混入させた不正 USBメ USBメモリ利用制モリの利用 ( 送付限敷地内への放置など) スパムメールコンテンツフィルタ Webフィルタリング (URL) セキュリティに関する社内注意喚起標的型メール攻撃疑似訓練 Securityソフトなどによるデバイス制限運用ルールによる利用制限検疫ネットワークの利用 ( 未許可端末の接続による感染を制御する) 中高中中高中中導入済み(IIJ 迷惑メールサービス) 導入済み(iFilter) 必要時に随時実施未実施強制的な外部媒体への書き込み制御機能の追加を検討中 ( 読み込み制御の予定はなし) 利用許可のあるUSBメモリ ( 暗号化機能付き)のみ利用するよう運用ルールが設定されている未導入不正 URLがBLに登録されていなければ検出できない不正 URLがBLに登録されていなければ検出できない社内注意喚起だけでは標的型メールを開いてしまう( 不審メールと見抜けない)ことによるウイルス感染の可能性標的型メールを開いてしまう( 不審メールと見抜けない)ことによるウイルス感染の可能性 ( 疑似訓練を実施しても可能性は残る) 不正なUSBメモリの読み込みによるウイルス感染の可能性未許可 USBメモリを強制的に排除できないため不正なUSBメモリの読み込みによるウイルス感染の可能性未許可の端末 ( 例 : 個人所有 PC)などの持ち込みによるウイルス拡散の可能性 8

費用サービス内容費用期間標的型攻撃に対するセキュリティ診断および結果報告 ( 診断結果に対する対策実施製品導入は含まない) 1,500,000 円 ~ 規模に応じて変動 ( 交通費宿泊費は除く) 2ヶ月大手ベンダーでは 2,000,000 円以上でサービス提供 9