標的型攻撃対策

187

188

f) 組織内ネットワーク上の端末に対する外部電磁的記録媒体の接続を制御及び 管理するための製品やサービスを導入する。

＜6.2.4(1)(b)関連＞

6.2.4(1)-3 情報システムセキュリティ責任者は、情報窃取や破壊等の攻撃対象となる蓋

然性が高いと想定される、認証サーバやファイルサーバ等の重要なサーバについて、

以下を例とする対策を行うこと。

a) 重要サーバについては、組織内ネットワークを複数セグメントに区切った上 で、重要サーバ類専用のセグメントに設置し、他のセグメントからのアクセス を必要最小限に限定する。また、インターネットに直接接続しない。

b) 認証サーバについては、利用者端末から管理者権限を狙う攻撃（辞書攻撃、ブ ルートフォース攻撃等）を受けることを想定した対策を講ずる。

6.2.4(1)-4 情報システムセキュリティ責任者は、端末の管理者権限アカウントについて、

以下を例とする対策を行うこと。

a) 不要な管理者権限アカウントを削除する。

b) 管理者権限アカウントのパスワードは、容易に推測できないものに設定する。

6.2.4(1)-5 情報システムセキュリティ責任者は、重点的に守るべき業務・情報を取り扱う

情報システムについては、高度サイバー攻撃対処のためのリスク評価等のガイドラ インに従って、対策を講ずること。

（解説）

遵守事項6.2.4(1)(a)「標的型攻撃」について

以下の各項における規定内容は、標的型攻撃への対策としても有効であるため、それ ぞれに示される対策を行う必要がある。

6.2.1項「ソフトウェアに関する脆弱性対策」

6.2.2項「不正プログラム対策」

7.1.1項「端末」

7.1.2項「サーバ装置」

7.2.1項「電子メール」

7.3.1項「通信回線」

基本対策事項6.2.4(1)-1「不審なプログラムが実行されないよう設定する」について 具体的な設定手段としては、通常アプリケーションでは利用しないメモリ空間を利 用しようとしたプログラムを不審と判定して実行を拒否するソフトウェアや、あらか じめ利用するアプリケーションを登録してそれ以外のアプリケーションの実行を拒否 するソフトウェアが挙げられる。

なお、これらを導入する場合には、業務で利用するアプリケーションに影響が及ぶ可 能性があるため、事前に検証する必要がある。

基本対策事項6.2.4(1)-2 c)「自動再生（オートラン）機能を無効化」について

自動再生（オートラン）機能とは、OSがその機能を備えている場合において、サー

189

バ装置や端末にUSBメモリ等の外部電磁的記録媒体を接続した際に、その媒体に格納 されている特定のプログラムを自動的に実行する機能を指す。

標的型攻撃に用いられる手段として、この機能を悪用するものがあり、例えば、不正 プログラムを格納したUSBメモリを端末に接続させることにより、不正プログラムを 実行させるという手法が想定される。

自動再生（オートラン）機能を無効化しておくことにより、この機能を悪用する手段 による被害に遭うリスクを低減することができる。

基本対策事項6.2.4(1)-2 d)「外部電磁的記録媒体内にあるプログラムを一律に実行拒否」

について

OS によっては、あらかじめ設定することにより、USB メモリ等の外部電磁的記録 媒体を端末に接続した場合において、その媒体にあるプログラムを、その媒体にある状 態のまま実行することを一律に拒否することができる。プログラムを実行したい場合 には、端末の内蔵電磁的記録媒体（PC内蔵HDD等）にいったんコピーしてから実行 する運用となる。この設定により、接続した途端に外部電磁的記録媒体上の不正プログ ラムが実行されるリスクを低減することができる。

基本対策事項6.2.4(1)-2 e)「USBポートを無効化」について

物理的に又はシステム的に USB ポートを利用できない状態にすることで、USB メ モリ等の外部電磁的記録媒体を接続することによって生じる情報セキュリティインシ デントの発生を抑止できる。

基本対策事項6.2.4(1)-2 f)「組織内ネットワーク上の端末に対する外部電磁的記録媒体 の接続を制御及び管理するための製品やサービス」について

外部電磁的記録媒体のポートへの接続や利用を制御及び管理するため、以下のよう な機能を持つ製品やサービスが市場に提供されている。

端末のUSBポートのインタフェースを無効化し、外部電磁的記録媒体を含む全 ての機器を利用不可とする。

USB ポートに接続された機器のうち、全ての外部電磁的記録媒体を利用不可と する。

利用を認める外部電磁的記録媒体を一元管理するサーバに事前に登録しておき、

登録されていない外部電磁的記録媒体の利用不可とする。

利用を認める外部電磁的記録媒体の個体識別情報（製品番号等）と利用者の組合 せを一元管理するサーバに事前に登録しておき、組合せ以外での利用を不可と する。

外部電磁的記録媒体の接続の際における、利用者、出力日時、出力ファイル名等 のログを自動的に取得する。

基本対策事項6.2.4(1)-3「情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定され る、認証サーバやファイルサーバ等の重要なサーバ」について

悪意ある第三者等は、入口対策を突破して内部への侵入に成功すると、外部から遠隔 指令を出して内部侵入の範囲を拡大しつつ、目的の達成を目指すと想定される。その目

190

的としては、重要情報の窃取や破壊が想定され、したがって、識別コード及びアクセス 権限を集中管理する認証サーバ、又は、情報が集中的に保存されるファイルサーバは、

攻撃対象となる蓋然性が高いと考えられる。これら重要サーバには、特に注意を払って 情報セキュリティ対策を講ずる必要がある。

基本対策事項6.2.4(1)-3 b)「管理者権限を狙う攻撃（辞書攻撃、ブルートフォース攻撃 等）を受けることを想定した対策」について

管理者権限を狙う攻撃としては、機械的にパスワードを変えながら連続してログイ ン試行する攻撃が考えられる。このような攻撃を受けることを想定した対策としては、

以下に挙げるものが考えられる。

連続でのログイン失敗回数に上限値を設け、この上限値を超えた場合は、次回ロ グイン試行までに一定の期間（例：15 分）ログイン試行を受け付けないように システム等で設定する。

ログイン失敗ログを取得し、その取得内容を継続的に監視することにより、大量 のログイン失敗を検知する仕組みを導入する。

なお、辞書攻撃とは、パスワードに単語の組合せや人名を用いている場合に有効なパ スワード解析方法をいう。英語の辞書に限らず各国語の単語を用いる場合もあるため、

日本語の単語、日本人の人名も安全ではない。また、単語と数桁の数字のような単純な 組合せも解析の対象となる。また、ブルートフォース攻撃とは、無意味な英数記号の組 合せも含めた、総当たりでのパスワード解析方法をいう。辞書攻撃より効率は劣るが、

原理的には必ず正しいパスワードに到達する。

191