世の中に存在する情報セキュリティ上の“脅威”は下記の通り、 「外部からの脅威」 、「内部からの脅威」の2つに分類できます。特に、サイバー攻撃による脅威(外部からの脅威)の1つである標的型攻撃は近年急増しており、警察庁が2015年に事業者などから報告を受けた標的型メール攻撃の件数は3,828件と、過去最多となっています(2014年は1,723件)。
・標的型攻撃(主にマルウェア)
(機密情報漏えい、システムの破壊)
・JTBの個人情報漏洩
・日本年金機構の個人情報漏洩
・JALの個人情報漏洩
・イランの原子力施設への攻撃
・三菱重工業社の機密情報流出
・本邦防衛関連団体に対する標的型攻撃
・韓国・金融機関/マスメディアへのサイバーテロ
・不正アクセス型攻撃 (サーバへの直接攻撃)
(個人情報漏えい、WEBサイト改ざん、WEBサイトのアクセス障害)
・角川書店・トヨタ社・日産社のWebサイト改ざん
・プレイステーションネットワークの個人情報漏洩
・日本政府に対するDDos攻撃
・不正な持ち出し
(個人情報/機密情報の漏えい)
・ベネッセ社の個人情報漏洩
・三菱UFJ証券社の個人情報漏えい
・アリコジャパン社の個人情報漏えい
・システムの誤操作/メールの誤送信
(情報漏えい、情報の消失・改変)
・レンタルサーバ会社のデータ消失
・記録媒体の盗難/紛失
(情報漏えい)
・大手Sierの個人情報漏えい
組織におけるサイバー攻撃の脅威に立ち向かうために必要な対策例として、下記の表に示すものがあげられます。2015年12月に公開された経済産業省策定の「サイバーセキュリティ経営ガイドライン」では、企業がサイバー攻撃によるリスクを経営リスクに位置づけて対策を講じることを求めています。
対策分類 | 対策内容 |
---|---|
組織的 |
・サイバーセキュリティリスクの認識、組織全体での対応の策定 ・サイバーセキュリティリスク管理体制の構築(サイバー攻撃に対する監視の体制・役割の整備) ・サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 ・サイバーセキュリティ対策フレームワーク構築(PDCA) ・系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握 ・サイバーセキュリティに係る人材育成、拡充計画の整備 ・ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保 ・情報共有機関等を通じた情報収集・共有の体制・役割の整備 ・緊急時対応及び早期警戒の体制・役割の整備(組織内CSIRT等) ・サイバー攻撃を想定したコンティンジェンシープランの整備状況、訓練や見直しの実施(業界横断的な演習参加含む。) ・サイバー攻撃の報告及び広報の体制・役割の整備 |
技術的 |
・以下の多段階サイバーセキュリティ(多層防御)による対策 ‐入口対策(ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等) ‐内部対策(特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視 等) ‐出口対策(通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等) ・ネットワークへの侵入検査や脆弱性診断等の定期的な評価実施の整備 ・OSの最新化やセキュリティパッチの適用などのシステムの脆弱性管理の整備 ・サイバー攻撃を受けた場合の被害拡大防止措置の整備 |
規程類 | ・サイバーセキュリティリスクに係わる規程、基準、手順類の整備 |
参考:経済産業省 「サイバーセキュリティ経営ガイドライン Ver1.0」
(1)実施概要
貴社のIT環境、セキュリティ環境等をもとに、サイバー脅威に対する貴社のリスクを評価し、優先順位付けを含め、リスク低減に向けた技術的対策および組織的管理体制の改善案をそれぞれ提示致します。
(2)実施ステップ
サイバーセキュリティに係るリスク(*1)について、技術的対策状況および組織的管理体制の調査・評価を以下のアプローチにて実施致します。
(*1) 標的型メール攻撃及び水のみ場攻撃により生じる情報漏えいリスク
(3)組織的管理体制の調査視点
サイバー攻撃に対する組織的な対策を評価するにあたり、以下の体制整備状況を調査致します。
・監視に基づく、サイバー攻撃、その疑わしき行為等について、予防・防御措置に係る規定の整備状況
・サイバー攻撃に対する監視体制、攻撃を受けた際の被害拡大防止措置体制
・サイバーセキュリティに関する外部との情報共有状況
・サイバーセキュリティに係る人材育成、拡充計画の策定状況
(4)技術的対策状況の調査視点
サイバー攻撃の脅威を評価するにあたり、以下のネットワークのセキュリティ対策状況、及びシステムのセキュリティ対策状況を調査致します。
ネットワークの対策状況
※全社共通の入口出口を中心に、主に以下の対策状況
・ファイアウォール、不正アクセス対策(IDS/IPS装置、検知センサーなど)
・スパムメール対策(メールフィルタリング、サンドボックスなど)
・Webアクセス対策(URLフィルタリングなど)
内部システムの対策状況
※生産管理システム及び運用管理端末、ファイルサーバ及び標準PCについて、主に以下の対策状況
・アクセス管理
・ログ管理
・脆弱性管理/ウィルス管理
・外部記録媒体管理
(1)技術的対策状況の評価に使用する脅威シナリオ
調査・評価の実施にあたり、標的型攻撃におけるサイバーキルチェーンにもとづく脅威シナリオを使用いたします。
※サイバーキルチェーンとは、標的型攻撃における攻撃者の一連の行動を軍事行動になぞらえて示したもので、2009年に米国の航空機、宇宙船の開発製造会社「ロッキードマーチン」で提唱されたもの(出典元:ZDNet Japan)
脅威のカテゴリ | 攻撃ステップ | 内容 |
---|---|---|
標的型攻撃/水のみ場攻撃 | 1. 初期感染/侵入 | ユーザにマルウェアを含む添付ファイル等を開かせるか、悪性Webサイトへアクセスさせて端末に感染・侵入し、C&Cサーバとの不正通信を確立する。 |
2. 攻撃基盤構築 | 感染端末への不正プログラムや攻撃ツールの組み込みや、システム情報・ネットワーク情報を収集し、侵入拡大するための基盤を構築する。 | |
3. 侵入拡大 | 他の端末やサーバの管理者権限アカウントなどを搾取しながら、侵入を拡大する。 | |
4. 目的遂行 | 目的の情報を探して、暗号化及び細分化するなどして、外部への持出しを行う。 |
(2)調査方法
本サービスは、文書レビュー及びヒアリングにより実施致します。
具体的には、弊社調査シート(以下サンプル)を用いて、文書レビューにより実施状況を確認し、文書レビューで不明な点や有効性の確認が必要な箇所を中心に、ヒアリングを実施致します。
脅威種別 | 区分1 | 区分2 | 対策名称 | 対象 | ご確認内容 | 実施状況 |
---|---|---|---|---|---|---|
APT | 内部 | 防御 | 脆弱性を突いた権限昇格の防止 | AD | セキュリティパッチを適宜当てているか | ○ |
APT | 内部 | 監視 | 脆弱性を突いた権限昇格の防止 | AD | ケルベロス認証の脆弱性を突いた管理者権限への昇格を監視しているか | ○ |
APT | 内部 | 防御 | ドメイン管理者アカウントの管理 | AD | ドメイン管理者のパスワードを定期的に変更しているか | ○ |
APT | 内部 | 防御 | ドメイン管理者アカウントの管理 | AD | ドメイン管理者のパスワードに複雑性を設定しているか | × |
APT | 内部 | 防御 | ドメイン管理者アカウントの管理 | AD | ドメイン管理者のログオン端末を限定しているか | × |
APT | 内部 | 監視 | ドメイン管理者アカウントの管理 | AD | ドメイン管理者の権限昇格/ログオンイベントを監視しているか | × |
APT | 出口 | 防御 | IPフィルタリング | FW | C&Cサーバ宛の通信をFWで拒否しているか | × |
APT | 出口 | 監視 | IPフィルタリング | FW | C&Cサーバ宛のアウトバウンド通信を監視しているか | × |
APT | 内部 | 防御 | アクセスルール | FW | システム管理端末のLAN環境は、OA端末のLAN環境と分離しているか | ○ |
以下、作業フェーズ毎の、ご提供頂く情報、成果物とその説明となります。
作業フェーズ | ご提供頂く情報 (インプット) |
成果物 (アウトプット) |
成果物(アウトプット)の説明 |
---|---|---|---|
1.計画 | ― | ・計画書 |
・標的型攻撃対策の有効性評価に係る計画についてまとめたもの。 具体的な項目例は以下です。 -調査目的 -調査基準 -調査対象及び範囲の設定 -監査実施体制 -監査実施スケジュール |
2.準備・調査 |
・文書資料 (例)ネットワーク構成図、評価対象システムのシステム概要資料、ADサーバ設計書、運用手順書、等) |
・調査シート ・インタビュー結果 |
調査シートは2種類作成いたします。 1) 文書調査結果を調査シートに反映したもの。 2)インタビュー結果を調査シートに反映したもの。 |
3.評価 |
・文書資料 ・調査シート ・インタビュー結果 |
・報告書 (ドラフト版) |
・サイバー攻撃の攻撃ステップ毎に、調査・評価結果と追加を要する対策案をまとめたもの(対応製品例も含む)。 ・対策案の優先順位などもご提示。 |
4.まとめ・報告 | ・お客様レビュー結果 | ・報告書 | ・上記報告書(ドラフト版)をフィックスさせたもの。内容はドラフト版と同。 |