セキュリティアセスメントのご提案
セキュリティアセスメントのご提案
~標的型攻撃に対するセキュリティ診断サービスについて~
~標的型攻撃に対するセキュリティ診断サービスについて~
株式会社マイルストーン・コンサルティング・グループ
平成26年1月吉日
セキュリティ対策に対する不安
セキュリティ対策に対する不安
公衆網Internet
Internet
Internet
Internet
不正アクセス
不正
アクセ
ス
不正
アクセ
ス
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
攻撃者
(内部犯)
(内部犯)
(内部犯)
(内部犯)
DB
DB
DB
DB
不正アクセス
ウィルス感染
不正アクセス
システムは常に
システムは常に
システムは常にインターネット
システムは常に
インターネット
インターネット
インターネットから不正アクセスの脅威にさらされている。また、社内にも
から不正アクセスの脅威にさらされている。また、社内にも
から不正アクセスの脅威にさらされている。また、社内にも不正
から不正アクセスの脅威にさらされている。また、社内にも
不正アクセス
不正
不正
アクセス
アクセス
アクセスを
を
を
をする内部犯
する内部犯
する内部犯
する内部犯
がいる可能性がある。(
がいる可能性がある。(
がいる可能性がある。(
がいる可能性がある。(2009
2009
2009
2009年大手証券会社で内部犯によるデータ持ち出し事件が発生)
年大手証券会社で内部犯によるデータ持ち出し事件が発生)
年大手証券会社で内部犯によるデータ持ち出し事件が発生)
年大手証券会社で内部犯によるデータ持ち出し事件が発生)
個々のセキュリティ対策は実施しているものの、全体を俯瞰した時に実施した対策の充足度がわからない
個々のセキュリティ対策は実施しているものの、全体を俯瞰した時に実施した対策の充足度がわからない
個々のセキュリティ対策は実施しているものの、全体を俯瞰した時に実施した対策の充足度がわからない
個々のセキュリティ対策は実施しているものの、全体を俯瞰した時に実施した対策の充足度がわからない
データ持ち出し
サイバー攻撃による被害
サイバー攻撃による被害
標的型攻撃にシフト
標的型攻撃にシフト
標的型攻撃にシフト
標的型攻撃にシフト
標的型攻撃の脅威
標的型攻撃の脅威
標的型攻撃にシフト
標的型攻撃にシフト
標的型攻撃にシフト
標的型攻撃にシフト
侵入
侵入
侵入
侵入
初期攻撃 初期攻撃 初期攻撃 初期攻撃 •E-mailへの添付、偽装ファイル •Web(フィッシング) •外部媒体(USBメモリー等)感染
感染
感染
感染
• 内部情報 (ID/PASS,ネットワーク/ノード 情 報入手) • 外部媒体ヘの書込み近接ノードへの侵入
近接ノードへの侵入
近接ノードへの侵入
近接ノードへの侵入
• 脆弱性の悪用 • 入手した内部情報悪用 • 既存権限の悪用 (Pass-the-Hash) • コントローラとの通信 (HTTP, SSL, IRC等でのC&C通信) • モジュール更新重要ノードへの侵入
重要ノードへの侵入
重要ノードへの侵入
重要ノードへの侵入
C&C C&C C&C C&Cサイトサイトサイトサイト バックドアを使った攻撃 バックドアを使った攻撃 バックドアを使った攻撃 バックドアを使った攻撃 基盤構築 基盤構築 基盤構築 基盤構築 システム システム システム システム////内部情報の取得内部情報の取得内部情報の取得内部情報の取得 Bot Bot Bot Botとして踏み台利用として踏み台利用として踏み台利用として踏み台利用 システムへの感染 システムへの感染 システムへの感染 システムへの感染 •脆弱性の悪用 •AntiVirusの回避・無効化 •ルートキット/RAT導入 他のサイトへ 他のサイトへ 他のサイトへ 他のサイトへ出口対策
出口対策
出口対策
出口対策
インターネット
インターネット
インターネット
インターネット
社内ネットワーク
社内ネットワーク
社内ネットワーク
社内ネットワーク
社内 社内社内 社内PCPCPCPC 社内サーバ 社内サーバ 社内サーバ 社内サーバ 攻撃者 攻撃者攻撃者 攻撃者////送信元送信元送信元送信元 近くの 近くの近くの 近くのPC/PC/PC/サーバへの侵入PC/サーバへの侵入サーバへの侵入サーバへの侵入外部への踏み台
外部への踏み台
外部への踏み台
外部への踏み台
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
Step1:
Step1:
Step1:
Step1:
Step1:
Step1:
Step1:
Step1:
初期潜入
初期潜入
初期潜入
初期潜入
初期潜入
初期潜入
初期潜入
初期潜入
Step2:
Step2:
Step2:
Step2:
Step2:
Step2:
Step2:
Step2:
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
攻撃基盤構築
Step3:
Step3:
Step3:
Step3:
Step3:
Step3:
Step3:
Step3:
システム調査
システム調査
システム調査
システム調査
システム調査
システム調査
システム調査
システム調査
Step4:
Step4:
Step4:
Step4:
Step4:
Step4:
Step4:
Step4:
最終目的の遂行
最終目的の遂行
最終目的の遂行
最終目的の遂行
最終目的の遂行
最終目的の遂行
最終目的の遂行
最終目的の遂行
• 重要情報の入手 • システムの破壊 • 他社攻撃の踏み台 etc <組織の重要情報の窃取> <組織の重要情報の窃取><組織の重要情報の窃取> <組織の重要情報の窃取> 重要サーバ 重要サーバ 重要サーバ 重要サーバ入口対策
入口対策
入口対策
入口対策
内部対策
内部対策
内部対策
内部対策
標的型攻撃を防ぐ対策
標的型攻撃を防ぐ対策
対策箇所
攻撃方法
主な対策
対策案
入口対策
入口対策
入口対策
入口対策
メール添付によるマルウェア
送信、およびメール本文
(URLリンク)による不正サイ
トへの誘導
不正メール対策(ウイルス)
GW型アンチウイルスサーバ
不正メール対策(不正URL) スパムメールコンテンツフィルタ
Webアクセス制御
Webフィルタリング(URL)
不審メール対応
セキュリティに関する社内注意喚起、標的型メール攻撃
(疑似訓練)
ウイルスを混入させた不正
USBメモリの利用(送付、敷
地内への放置、など)
USBメモリ利用制限
Securityソフトなどによるデバイス制限、運用ルールによ
る利用制限、検疫ネットワークの利用
内部対策
内部対策
内部対策
内部対策
マルウェア感染による内部
侵入
ウイルス感染対策
O/S、ソフトウェアの脆弱性対策(パッチ適用)、端末型
アンチウイルスソフト導入
外部C&Cサイトへの通信経
路確立
外部C&C通信対策
認証Proxyの利用、 F/Wアウトバウンド制御、 IPS/IDS
によるアウトバウンド通信監視、 Webフィルタリング
(BlackListによる検知)
出口対策
出口対策
出口対策
出口対策
ウイルス感染による内部侵
入の拡大
内部拡大対策
ユーザーID共有の禁止、パスワードルールの設定、特権
ユーザーの利用制限
重要データへのアクセスおよ
び情報の奪取
重要データへのアクセス制御 境界F/Wの導入(セグメンテーション強化)、境界
IPS/IDS導入による不正コード検出、運用・管理者ID
共有の禁止、運用・管理者IDのパスワードルールの設定、
特権運用・管理者の利用制限、 2要素認証の利用
作業の進め方
作業の進め方
対策箇所
主な対策
対策案
入口対策
入口対策
入口対策
入口対策
不正メール対策(ウイルス) GW型アンチウイルスサーバ
不正メール対策(不正
URL)
スパムメールコンテンツフィルタ
Webアクセス制御
Webフィルタリング(URL)
不審メール対応
セキュリティに関する社内注意喚起、標的型
メール攻撃(疑似訓練)
USBメモリ利用制限
Securityソフトなどによるデバイス制限、運用
ルールによる利用制限、検疫ネットワークの
利用
内部対策
内部対策
内部対策
内部対策
ウイルス感染対策
O/S、ソフトウェアの脆弱性対策(パッチ適
用)、端末型アンチウイルスソフト導入
外部C&C通信対策
認証Proxyの利用、 F/Wアウトバウンド制御、
IPS/IDSによるアウトバウンド通信監視、
Webフィルタリング(BlackListによる検知)
出口対策
出口対策
出口対策
出口対策
内部拡大対策
ユーザーID共有の禁止、パスワードルールの
設定、特権ユーザーの利用制限
重要データへのアクセス制
御
境界F/Wの導入(セグメンテーション強化)、
境界IPS/IDS導入による不正コード検出、
運用・管理者ID共有の禁止、運用・管理者
IDのパスワードルールの設定、特権運用・管
理者の利用制限、 2要素認証の利用
重要データの保護
データ集中管理、データ暗号化、データ漏え
い対策機器(DLP)の導入
システムのドキュメント参照
担当者へのヒアリング
対策に不足がないか
比較する
診断対象会社
診断対象会社
診断対象会社
診断対象会社
不足があれば優先度を
不足があれば優先度を
不足があれば優先度を
不足があれば優先度を
決め対策を実施する
決め対策を実施する
決め対策を実施する
決め対策を実施する
作業スケジュール
作業スケジュール
マイルス
トーン
1-3.報告書作成
マイルス
トーン/
お客様
1-1.ドキュメント参照
作業内容
作業内容
作業内容
作業内容
担当
担当
担当
担当
1Month
1Month
1Month
1Month
2Month
2Month
2Month
2Month
3Month
3Month
3Month
3Month
4Month
4Month
4Month
4Month
1.診断
マイルス
トーン/
お客様
1-2.ヒアリング実施
マイルス
トーン/
お客様
1-4.診断結果報告
マイルス
トーン/
お客様
2.ベンダー選択
○○/
お客様
3.対策実施
○○/
お客様
3weeks
2weeks
2weeks
導入製品に応じて
導入製品に応じて
ヒアリング項目(サンプル)
ヒアリング項目(サンプル)
未実施
×
標的型メール攻撃の疑似訓練を
実施したことがあるか?
1-5
必要時に随時実施
○
セキュリティに関する社内注意喚起
を定期的に実施しているか?
1-4
iFilterを導入済み
○
Webフィルタリングは導入している
か?
1-3
導入していない
×
スパムメールコンテンツフィルターを
導入しているか?
1-2
シマンテックのGW型アンチウィルスを導入済み
○
GW型のアンチウィルス対策は実施
しているか?
1-1
不正メール対策
1
対策内容
対策内容
対策内容
対策内容
対策
対策
対策
対策
有無
有無
有無
有無
セキュリティ対策
セキュリティ対策
セキュリティ対策
セキュリティ対策
No
No
No
No
“
““
“①
①
① 侵入
①
侵入
侵入”
侵入
””
”への対応
への対応
への対応
への対応
最初に、攻撃者は、外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます。送信方法には電子
最初に、攻撃者は、外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます。送信方法には電子
最初に、攻撃者は、外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます。送信方法には電子
最初に、攻撃者は、外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます。送信方法には電子
メールの添付ファイル、
メールの添付ファイル、
メールの添付ファイル、
メールの添付ファイル、URL
URL
URLリンク、
URL
リンク、
リンク、
リンク、USB
USB
USBメモリーがよく使われます。
USB
メモリーがよく使われます。
メモリーがよく使われます。
メモリーがよく使われます。
未許可の端末(例:個人所有PC)などの持ち込みによるウイル 検疫ネットワークの 未許可USBメモリを強制的に排除できないため、不正なUSBメ モリの読み込みによるウイルス感染の可能性。 利用許可のあるUSBメモリ (暗号化機能付き)のみ利 用するよう運用ルールが設 定されている 中 運用ルールによる利 用制限 ウイルスを混入さ せた不正USBメ モリの利用(送付、 敷地内への放置、 など) 不正なUSBメモリの読み込みによるウイルス感染の可能性。 強制的な「外部媒体への 書き込み制御」機能の追 加を検討中(「読み込み制 御」の予定はなし) 高 Securityソフトなど によるデバイス制限 USBメモリ利用制 限 標的型メールを開いてしまう(不審メールと見抜けない)ことによ るウイルス感染の可能性。(※疑似訓練を実施しても、可能性 は残る) 未実施 中 標的型メール攻撃 疑似訓練 社内注意喚起だけでは、標的型メールを開いてしまう(不審メー ルと見抜けない)ことによるウイルス感染の可能性。 必要時に随時実施 中 セキュリティに関する 社内注意喚起 不審メール対応
Webアクセス制御 Webフィルタリング 高 導入済み(iFilter) 不正URLがBLに登録されていなければ検出できない (URL) 導入済み(IIJ迷惑メールサ ービス) 導入済み(型式) お客様環境における現状 中 高 対策 優先度 不正URLがBLに登録されていなければ検出できない。 スパムメールコンテン ツフィルタ 不正メール対策 (不正URL) 未知のウイルスは検知できない。 GW型アンチウイルス サーバ 不正メール対策 (ウイルス) メール添付による マルウェア送信、 およびメール本文 (URLリンク)によ る不正サイトへの 誘導 攻撃者は、外部ネットワー クから組織内部に対して、 攻撃コードを送り込むことを 試みます。送信方法は、 電子メールの添付ファイル、 URLリンク、USBメモリーな どがよくつかわれます 現状における残存リスク 対策案 主な対策 攻撃方法 STEP1:初期侵入