脆弱性を突かれないために抑えておくべきポイントとインシデント対応
～プラットフォームに残る脆弱性が狙われている！ 衰えない実被害に対する
「シナリオベースペネトレーションテスト」「インシデント対応訓練」とは～

昨今、システムの脆弱性を突いた攻撃が激しさを増しています。システム運営者は十分に対策をしているつもりでも、インシデントは発生してしまいます。「万全を期して構築したつもりのシステムに抜け穴がある」、「VPNを使わずに、外部からリモートデスクトップでアクセスできるようになっていた」、「知らぬ間に管理外にシステムが存在していた」など、実に様々な要因があります。
グローバルセキュリティエキスパート株式会社（以下、GSX）ではインシデント緊急対応、ペネトレーションテスト、脆弱性診断、インシデント対応訓練などのご支援を通じ、様々なケースに対処してきました。本ウェビナーでは、特に昨今、被害事例が急増しているプラットフォームに残る脆弱性を狙った手口を解説しながら、このリスクに対処するために、どんなことをしていけばよいか？シナリオベースのペネトレーションテストや万一に備えるインシデント対応訓練など、即効性の高い対策と共に、継続的に対応するためのポイントをお伝えします。

　企業・組織を狙ったサイバー犯罪の被害が拡大しています。特にプラットフォームの脆弱性を突いた攻撃により、研究データやユーザー情報などの機密情報が盗まれ、さらに侵入後にシステムが暗号化され、脅迫されたり、業務停止になるなどの被害が発生しています。例えば、ドラッグストアを運営する企業では、今年6月にテレワーク中のPCがマルウェアに感染、1週間後には重要システム（端末60台強、7台のサーバなど）がランサムウェアに感染し、暗号化され業務停止になりました。被害後の調査で、今年5月にVPNゲートウェイ（プラットフォーム）の脆弱性を攻撃され、接続用のIDとパスワードが盗まれていたことが判明しました。犯行者は盗んだIDとパスワードを悪用して正規のVPNアカウントで内部に侵入し、VPN経由でRDP接続を行い、クラウドや基幹システムに侵入して、6月にマルウェアやランサムウェアによる攻撃を行いました。
　昨今のサイバー犯罪は、ビジネス形態や生活様式の変化、“ココロの隙”などをシナリオに組み込み、様々な手法を絡めて攻撃してきます。さらに犯行者は、事前に「調べて／リスト化して／連携を取り／PDCAを回す」などの準備をした上で攻撃してきますので、これまでの受動的な対策では防ぐことができません。
　サイバー犯罪の被害を防ぐためには、犯行者側の視点で考えることが必要です。“敵を知り己を知れば百戦危うからず”。孫氏の兵法のように、まずは敵を知り、己を知ることで、社内の防犯意識を認識・共有することが重要です。前述のサイバー犯罪被害を受けた企業では、原因を掘り下げることで課題を抽出し、抜本的な対策として、①手口の理解（敵を知る）、②棚卸し（己を知る）、③仕組み化・自動化（無理なく継続する）に取り組んでいます。犯行者の手口を知ることで、「何を守るのか？」が明確になり、棚卸しでリスクを見える化し、対策を継続するための体制をつくっていきます。
サイバー犯罪に対抗していくためには「犯人は常に犯行の準備をしている」ことを踏まえて、防犯意識を共有し、事前準備を進めましょう。

インシデントに備えるための準備の全体像

　常日頃からセキュリティ意識が高くシステムを管理している企業でも、アタックサーフェス（攻撃対象領域）と呼ばれる攻撃の入り口の認識に抜け漏れがあります。アタックサーフェスは、Webやプラットフォームのリスクを可視化する診断により把握しますが、実際に攻撃されやすいのはプラットフォーム側といわれています。その理由として、攻撃者側と企業側の活動に流動性・可変性があり、定期的な検証が必要になるからです。さらにプラットフォームには、潜在している脆弱性がある日突然明るみに出て、新たな脆弱性として発見・報告されていますので、診断の頻繁な実施が推奨されています。
　GSXでは、リスクを可視化するサービスとしてプラットフォーム診断を提供しています。診断では、対象ネットワーク経由で通信可能な機器に脆弱性や設定の不備などによる問題がないかを診断します。また、攻撃者と同じ視点で脆弱性を探し出し、防御策の提案や指導を行います。
　ペネトレーションテストでは、攻撃者と同じ手法を用いたり、認証突破を試みて「本当に侵入されていないか？」「情報漏洩しないか？」などの実害の有無を確認し、攻撃の起点となるアタックサーフェスを診断します。テストのシナリオは、外部からの侵入を考慮した攻撃と、侵入を許した後の攻撃の2タイプを用意し、手動診断を併用することで、より精度の高い結果を得られるようにしています。
　プラットフォーム診断は、主に「対象設定→診断実施→結果精査→修正適用」のサイクルで実施していきます。診断結果を分析して課題を抽出する「結果精査」は第三者の視点が必要になります。GSXは最適な診断対象の提案から、予算に応じた診断実施計画の提案を行っています。

　サイバー犯罪に対して、現状の組織体制でどこまで対応可能なのかを第三者的な視点から点検・評価するインシデント対応訓練が重要視されています。GSXでは、想定シナリオを用意したインシデント対応の机上訓練の実施をサポートしています。
　インシデント対応訓練は、組織の成熟度に関わらず、組織力の評価や点検など様々な用途・目的で実施されています。例えばある銀行では、訓練を通じて各種マニュアルが未整備だったことが判明しました。同様に証券会社では、実際に受けた攻撃を再現して対処手順が整備されていることを確認し、保険会社ではグループ会社でインシデントが発生した場合の訓練により、システム状況の把握がグループ会社を含めると不十分であることが分かりました。その他にも、ツール検知できない脆弱性への攻撃（予測不可能な事態）の対策や、検知システム、ログ管理体制の状況確認などで実施されています。
　GSXでは、組織面・技術面の双方で課題を抽出できるよう一連のインシデントレスポンスフローを確認し、組織環境や成熟度に即したシナリオを作成します。さらに、多種多様な演習方式やCSIRT構築支援、手順書作成など、様々なアフターサービスを用意しています。
　訓練期間は2～3カ月程度を想定しています。事前準備として、担当部署へのヒアリングを行い、訓練目標・計画案の策定やシナリオを作成し、実施時の資料も作成します。訓練当日は訓練の進行をサポートし、実施後は、訓練結果をGSXのコンサルタントが報告書として取りまとめ、報告会の中で改善点について提言します。
　想定シナリオを用意したインシデント対応訓練により、関係者の理解を深めると共に、課題を洗い出し、万一に備えることが重要です。

本記事のシェアはこちらから