セキュリティアセスメントのご 提 案 ~ 標 的 型 攻 撃 に 対 するセキュリティ 診 断 サービスについて~ 株 式 会 社 マイルストーン コンサルティング グループ 平 成 26 年 1 月 吉 日
セキュリティ 対 策 に 対 する 不 安 不 正 アクセス データ 持 ち 出 し 攻 撃 者 ( 内 部 犯 ) 不 正 アクセス DB 不 正 アクセス ウィルス 感 染 Internet 攻 撃 者 DB 不 正 アクセス 公 衆 網 不 正 アクセス 攻 撃 者 攻 撃 者 システムは 常 にインターネット インターネットから 不 正 アクセスの 脅 威 にさらされている また 社 内 にも 不 正 アクセスをする 内 部 犯 がいる 可 能 性 がある (2009 年 大 手 証 券 会 社 で 内 部 犯 によるデータ 持 ち 出 し 事 件 が 発 生 ) 個 々のセキュリティ 対 策 は 実 施 しているものの 全 体 を 俯 瞰 した 時 に 実 施 した 対 策 の 充 足 度 がわからない 1
サイバー 攻 撃 による 被 害 標 的 型 攻 撃 にシフト 2
標 的 型 攻 撃 の 脅 威 Step1: 初 期 潜 入 攻 撃 者 / 送 信 元 インターネット C&Cサイト 侵 入 初 期 攻 撃 E-mailへの 添 付 偽 装 ファイル Web(フィッシング) 外 部 媒 体 (USBメモリー 等 ) 他 のサイトへ Step2: 攻 撃 基 盤 構 築 入 口 対 策 出 口 対 策 感 染 攻 撃 基 盤 構 築 バックドアを 使 った 攻 撃 基 盤 構 築 コントローラとの 通 信 (HTTP, SSL, IRC 等 でのC&C 通 信 ) モジュール 更 新 外 部 への 踏 み 台 Botとして 踏 み 台 利 用 社 内 PC Step3: システム 調 査 社 内 ネットワーク システムへの 感 染 脆 弱 性 の 悪 用 AntiVirusの 回 避 無 効 化 ルートキット/RAT 導 入 システム/ 内 部 情 報 の 取 得 内 部 情 報 (ID/PASS,ネットワーク/ノード 情 報 入 手 ) 外 部 媒 体 ヘの 書 込 み 社 内 サーバ 内 部 対 策 近 接 ノードへの 侵 入 近 くのPC/ PC/サーバへの 侵 入 脆 弱 性 の 悪 用 入 手 した 内 部 情 報 悪 用 既 存 権 限 の 悪 用 (Pass-the-Hash) Step4: 最 終 目 的 の 遂 行 重 要 ノードへの 侵 入 < 組 織 の 重 要 情 報 の 窃 取 > 重 要 情 報 の 入 手 システムの 破 壊 他 社 攻 撃 の 踏 み 台 重 要 サーバ etc 標 的 型 攻 撃 にシフト 3
標 的 型 攻 撃 を 防 ぐ 対 策 対 策 箇 所 攻 撃 方 法 主 な 対 策 対 策 案 入 口 対 策 内 部 対 策 メール 添 付 によるマルウェア 送 信 およびメール 本 文 (URLリンク)による 不 正 サイ トへの 誘 導 ウイルスを 混 入 させた 不 正 USBメモリの 利 用 ( 送 付 敷 地 内 への 放 置 など) マルウェア 感 染 による 内 部 侵 入 外 部 C&Cサイトへの 通 信 経 路 確 立 ウイルス 感 染 による 内 部 侵 入 の 拡 大 不 正 メール 対 策 (ウイルス) GW 型 アンチウイルスサーバ 不 正 メール 対 策 ( 不 正 URL) スパムメールコンテンツフィルタ Webアクセス 制 御 不 審 メール 対 応 USBメモリ 利 用 制 限 ウイルス 感 染 対 策 外 部 C&C 通 信 対 策 内 部 拡 大 対 策 Webフィルタリング(URL) セキュリティに 関 する 社 内 注 意 喚 起 標 的 型 メール 攻 撃 ( 疑 似 訓 練 ) Securityソフトなどによるデバイス 制 限 運 用 ルールによ る 利 用 制 限 検 疫 ネットワークの 利 用 O/S ソフトウェアの 脆 弱 性 対 策 (パッチ 適 用 ) 端 末 型 アンチウイルスソフト 導 入 認 証 Proxyの 利 用 F/Wアウトバウンド 制 御 IPS/IDS によるアウトバウンド 通 信 監 視 Webフィルタリング (BlackListによる 検 知 ) ユーザーID 共 有 の 禁 止 パスワードルールの 設 定 特 権 ユーザーの 利 用 制 限 出 口 対 策 重 要 データへのアクセスおよ び 情 報 の 奪 取 重 要 データへのアクセス 制 御 境 界 F/Wの 導 入 (セグメンテーション 強 化 ) 境 界 IPS/IDS 導 入 による 不 正 コード 検 出 運 用 管 理 者 ID 共 有 の 禁 止 運 用 管 理 者 IDのパスワードルールの 設 定 特 権 運 用 管 理 者 の 利 用 制 限 2 要 素 認 証 の 利 用 重 要 データの 保 護 データ 集 中 管 理 データ 暗 号 化 データ 漏 えい 対 策 機 器 (DLP)の 導 入 4
作 業 の 進 め 方 対 策 箇 所 主 な 対 策 対 策 案 入 口 対 策 不 正 メール 対 策 (ウイルス) GW 型 アンチウイルスサーバ 不 正 メール 対 策 ( 不 正 URL) Webアクセス 制 御 不 審 メール 対 応 USBメモリ 利 用 制 限 スパムメールコンテンツフィルタ Webフィルタリング(URL) セキュリティに 関 する 社 内 注 意 喚 起 標 的 型 メール 攻 撃 ( 疑 似 訓 練 ) Securityソフトなどによるデバイス 制 限 運 用 ルールによる 利 用 制 限 検 疫 ネットワークの 利 用 診 断 対 象 会 社 内 部 対 策 ウイルス 感 染 対 策 O/S ソフトウェアの 脆 弱 性 対 策 (パッチ 適 用 ) 端 末 型 アンチウイルスソフト 導 入 外 部 C&C 通 信 対 策 認 証 Proxyの 利 用 F/Wアウトバウンド 制 御 IPS/IDSによるアウトバウンド 通 信 監 視 Webフィルタリング(BlackListによる 検 知 ) システムのドキュメント 参 照 出 口 対 策 内 部 拡 大 対 策 重 要 データへのアクセス 制 御 ユーザーID 共 有 の 禁 止 パスワードルールの 設 定 特 権 ユーザーの 利 用 制 限 境 界 F/Wの 導 入 (セグメンテーション 強 化 ) 境 界 IPS/IDS 導 入 による 不 正 コード 検 出 運 用 管 理 者 ID 共 有 の 禁 止 運 用 管 理 者 IDのパスワードルールの 設 定 特 権 運 用 管 理 者 の 利 用 制 限 2 要 素 認 証 の 利 用 対 策 に 不 足 がないか 比 較 する 担 当 者 へのヒアリング 重 要 データの 保 護 データ 集 中 管 理 データ 暗 号 化 データ 漏 え い 対 策 機 器 (DLP)の 導 入 不 足 があれば 優 先 度 を 決 め 対 策 を 実 施 する 5
作 業 スケジュール 作 業 内 容 担 当 1Month 2Month 3Month 4Month 1. 診 断 マイルス トーン/ 1-1.ドキュメント 参 照 マイルス トーン/ 3weeks 1-2.ヒアリング 実 施 マイルス トーン/ 2weeks 1-3. 報 告 書 作 成 1-4. 診 断 結 果 報 告 マイルス トーン マイルス トーン/ 2weeks 2.ベンダー 選 択 / 導 入 製 品 に 応 じて 3. 対 策 実 施 / 導 入 製 品 に 応 じて 6
ヒアリング 項 目 (サンプル) No セキュリティ 対 策 対 策 有 無 対 策 内 容 1 不 正 メール 対 策 1-1 GW 型 のアンチウィルス 対 策 は 実 施 しているか? シマンテックのGW 型 アンチウィルスを 導 入 済 み 1-2 スパムメールコンテンツフィルターを 導 入 しているか? 導 入 していない 1-3 Webフィルタリングは 導 入 している か? ifilterを 導 入 済 み 1-4 セキュリティに 関 する 社 内 注 意 喚 起 を 定 期 的 に 実 施 しているか? 必 要 時 に 随 時 実 施 1-5 標 的 型 メール 攻 撃 の 疑 似 訓 練 を 実 施 したことがあるか? 未 実 施 7
セキュリティ 診 断 結 果 (サンプル) 1 侵 入 への 対 応 最 初 に 攻 撃 者 は 外 部 ネットワークから 組 織 内 部 に 対 して 攻 撃 コードを 送 り 込 むことを 試 みます 送 信 方 法 には 電 子 メールの 添 付 ファイル URL URLリンク リンク USB USBメモリーがよく 使 われます STEP1: 初 期 侵 入 攻 撃 方 法 主 な 対 策 対 策 案 対 策 優 先 度 環 境 における 現 状 現 状 における 残 存 リスク 不 正 メール 対 策 (ウイルス) GW 型 アンチウイルス サーバ 高 導 入 済 み( 型 式 ) 未 知 のウイルスは 検 知 できない 攻 撃 者 は 外 部 ネットワー クから 組 織 内 部 に 対 して 攻 撃 コードを 送 り 込 むことを 試 みます 送 信 方 法 は 電 子 メールの 添 付 ファイル URLリンク USBメモリーな どがよくつかわれます メール 添 付 による マルウェア 送 信 およびメール 本 文 (URLリンク)によ る 不 正 サイトへの 誘 導 不 正 メール 対 策 ( 不 正 URL) Webアクセス 制 御 不 審 メール 対 応 ウイルスを 混 入 さ せた 不 正 USBメ USBメモリ 利 用 制 モリの 利 用 ( 送 付 限 敷 地 内 への 放 置 など) スパムメールコンテン ツフィルタ Webフィルタリング (URL) セキュリティに 関 する 社 内 注 意 喚 起 標 的 型 メール 攻 撃 疑 似 訓 練 Securityソフトなど によるデバイス 制 限 運 用 ルールによる 利 用 制 限 検 疫 ネットワークの 利 用 ( 未 許 可 端 末 の 接 続 による 感 染 を 制 御 する) 中 高 中 中 高 中 中 導 入 済 み(IIJ 迷 惑 メールサ ービス) 導 入 済 み(iFilter) 必 要 時 に 随 時 実 施 未 実 施 強 制 的 な 外 部 媒 体 への 書 き 込 み 制 御 機 能 の 追 加 を 検 討 中 ( 読 み 込 み 制 御 の 予 定 はなし) 利 用 許 可 のあるUSBメモリ ( 暗 号 化 機 能 付 き)のみ 利 用 するよう 運 用 ルールが 設 定 されている 未 導 入 不 正 URLがBLに 登 録 されていなければ 検 出 できない 不 正 URLがBLに 登 録 されていなければ 検 出 できない 社 内 注 意 喚 起 だけでは 標 的 型 メールを 開 いてしまう( 不 審 メー ルと 見 抜 けない)ことによるウイルス 感 染 の 可 能 性 標 的 型 メールを 開 いてしまう( 不 審 メールと 見 抜 けない)ことによ るウイルス 感 染 の 可 能 性 ( 疑 似 訓 練 を 実 施 しても 可 能 性 は 残 る) 不 正 なUSBメモリの 読 み 込 みによるウイルス 感 染 の 可 能 性 未 許 可 USBメモリを 強 制 的 に 排 除 できないため 不 正 なUSBメ モリの 読 み 込 みによるウイルス 感 染 の 可 能 性 未 許 可 の 端 末 ( 例 : 個 人 所 有 PC)などの 持 ち 込 みによるウイル ス 拡 散 の 可 能 性 8
費 用 サービス 内 容 費 用 期 間 標 的 型 攻 撃 に 対 するセキュリティ 診 断 および 結 果 報 告 ( 診 断 結 果 に 対 する 対 策 実 施 製 品 導 入 は 含 まない) 1,500,000 円 ~ 規 模 に 応 じて 変 動 ( 交 通 費 宿 泊 費 は 除 く) 2ヶ 月 大 手 ベンダーでは 2,000,000 円 以 上 でサービス 提 供 9