security

(1)

セキュリティアセスメントのご提案

～標的型攻撃に対するセキュリティ診断サービスについて～

株式会社マイルストーン・コンサルティング・グループ

平成26年1月吉日

(2)

セキュリティ対策に対する不安

公衆網

Internet

不正アクセス

不正

アクセ

_ス

不正

アクセ

_ス

攻撃者

（内部犯）

DB

不正アクセス

ウィルス感染

不正アクセス

システムは常に

システムは常にインターネット

システムは常に

インターネット

インターネットから不正アクセスの脅威にさらされている。また、社内にも

から不正アクセスの脅威にさらされている。また、社内にも

から不正アクセスの脅威にさらされている。また、社内にも不正

から不正アクセスの脅威にさらされている。また、社内にも

不正アクセス

不正

アクセス

アクセスを

を

をする内部犯

する内部犯

がいる可能性がある。（

がいる可能性がある。（2009

2009

2009年大手証券会社で内部犯によるデータ持ち出し事件が発生）

年大手証券会社で内部犯によるデータ持ち出し事件が発生）

個々のセキュリティ対策は実施しているものの、全体を俯瞰した時に実施した対策の充足度がわからない

データ持ち出し

(3)

サイバー攻撃による被害

標的型攻撃にシフト

(4)

標的型攻撃の脅威

標的型攻撃にシフト

侵入

初期攻撃初期攻撃初期攻撃初期攻撃 •E-mailへの添付、偽装ファイル •Web（フィッシング） •外部媒体（USBメモリー等）

感染

• 内部情報（ID/PASS,ネットワーク/ノード情報入手） • 外部媒体ヘの書込み

近接ノードへの侵入

• 脆弱性の悪用 • 入手した内部情報悪用 • 既存権限の悪用（Pass-the-Hash） • コントローラとの通信（HTTP, SSL, IRC等でのC&C通信) • モジュール更新

重要ノードへの侵入

C&C C&C C&C C&Cサイトサイトサイトサイトバックドアを使った攻撃バックドアを使った攻撃バックドアを使った攻撃バックドアを使った攻撃基盤構築基盤構築基盤構築基盤構築システムシステムシステムシステム////内部情報の取得内部情報の取得内部情報の取得内部情報の取得 Bot Bot Bot Botとして踏み台利用として踏み台利用として踏み台利用として踏み台利用システムへの感染システムへの感染システムへの感染システムへの感染 •脆弱性の悪用 •AntiVirusの回避・無効化 •ルートキット/RAT導入他のサイトへ他のサイトへ他のサイトへ他のサイトへ

出口対策

インターネット

社内ネットワーク

社内社内社内社内PCPCPCPC 社内サーバ社内サーバ社内サーバ社内サーバ攻撃者攻撃者攻撃者攻撃者////送信元送信元送信元送信元近くの近くの近くの近くのPC/PC/PC/サーバへの侵入PC/サーバへの侵入サーバへの侵入サーバへの侵入

外部への踏み台

攻撃基盤構築

Step1:

初期潜入

Step2:

攻撃基盤構築

Step3:

システム調査

Step4:

最終目的の遂行

• 重要情報の入手 • システムの破壊 • 他社攻撃の踏み台 etc ＜組織の重要情報の窃取＞＜組織の重要情報の窃取＞＜組織の重要情報の窃取＞＜組織の重要情報の窃取＞重要サーバ重要サーバ重要サーバ重要サーバ

入口対策

内部対策

(5)

標的型攻撃を防ぐ対策

対策箇所

攻撃方法

主な対策

対策案

入口対策

メール添付によるマルウェア

送信、およびメール本文

（URLリンク）による不正サイ

トへの誘導

不正メール対策（ウイルス）

GW型アンチウイルスサーバ

不正メール対策（不正URL）スパムメールコンテンツフィルタ

Webアクセス制御

Webフィルタリング（URL）

不審メール対応

セキュリティに関する社内注意喚起、標的型メール攻撃

（疑似訓練）

ウイルスを混入させた不正

USBメモリの利用（送付、敷

地内への放置、など）

USBメモリ利用制限

Securityソフトなどによるデバイス制限、運用ルールによ

る利用制限、検疫ネットワークの利用

内部対策

マルウェア感染による内部

侵入

ウイルス感染対策

O/S、ソフトウェアの脆弱性対策（パッチ適用）、端末型

アンチウイルスソフト導入

外部C&Cサイトへの通信経

路確立

外部C&C通信対策

認証Proxyの利用、 F/Wアウトバウンド制御、 IPS/IDS

によるアウトバウンド通信監視、 Webフィルタリング

（BlackListによる検知）

出口対策

ウイルス感染による内部侵

入の拡大

内部拡大対策

ユーザーID共有の禁止、パスワードルールの設定、特権

ユーザーの利用制限

重要データへのアクセスおよ

び情報の奪取

重要データへのアクセス制御境界F/Wの導入（セグメンテーション強化）、境界

IPS/IDS導入による不正コード検出、運用・管理者ID

共有の禁止、運用・管理者IDのパスワードルールの設定、

特権運用・管理者の利用制限、２要素認証の利用

(6)

作業の進め方

対策箇所

主な対策

対策案

入口対策

不正メール対策（ウイルス） GW型アンチウイルスサーバ

不正メール対策（不正

URL）

スパムメールコンテンツフィルタ

Webアクセス制御

Webフィルタリング（URL）

不審メール対応

セキュリティに関する社内注意喚起、標的型

メール攻撃（疑似訓練）

USBメモリ利用制限

Securityソフトなどによるデバイス制限、運用

ルールによる利用制限、検疫ネットワークの

利用

内部対策

ウイルス感染対策

O/S、ソフトウェアの脆弱性対策（パッチ適

用）、端末型アンチウイルスソフト導入

外部C&C通信対策

認証Proxyの利用、 F/Wアウトバウンド制御、

IPS/IDSによるアウトバウンド通信監視、

Webフィルタリング（BlackListによる検知）

出口対策

内部拡大対策

ユーザーID共有の禁止、パスワードルールの

設定、特権ユーザーの利用制限

重要データへのアクセス制

御

境界F/Wの導入（セグメンテーション強化）、

境界IPS/IDS導入による不正コード検出、

運用・管理者ID共有の禁止、運用・管理者

IDのパスワードルールの設定、特権運用・管

理者の利用制限、２要素認証の利用

重要データの保護

データ集中管理、データ暗号化、データ漏え

い対策機器（DLP）の導入

システムのドキュメント参照

担当者へのヒアリング

対策に不足がないか

比較する

診断対象会社

不足があれば優先度を

決め対策を実施する

(7)

作業スケジュール

マイルス

トーン

1-3.報告書作成

マイルス

トーン/

お客様

1-1.ドキュメント参照

作業内容

担当

1Month

2Month

3Month

4Month

1.診断

マイルス

トーン/

お客様

1-2.ヒアリング実施

マイルス

トーン/

お客様

1-4.診断結果報告

マイルス

トーン/

お客様

2.ベンダー選択

○○/

_お客様

3.対策実施

○○/

_お客様

3weeks

2weeks

導入製品に応じて

(8)

ヒアリング項目（サンプル）

未実施

×

標的型メール攻撃の疑似訓練を

実施したことがあるか？

1-5

必要時に随時実施

○ セキュリティに関する社内注意喚起

を定期的に実施しているか？

1-4

iFilterを導入済み

○ Webフィルタリングは導入している

か？

1-3

導入していない

×

スパムメールコンテンツフィルターを

導入しているか？

1-2

シマンテックのGW型アンチウィルスを導入済み

○ GW型のアンチウィルス対策は実施

しているか？

1-1

不正メール対策

1 対策内容

対策内容

対策

有無

セキュリティ対策

No

(9)

“

““

“①

①

① 侵入

①

侵入

侵入”

侵入

””

”への対応

への対応

最初に、攻撃者は、外部ネットワークから組織内部に対して攻撃コードを送り込むことを試みます。送信方法には電子

メールの添付ファイル、

メールの添付ファイル、URL

URL

URLリンク、

URL

リンク、

リンク、USB

USB

USBメモリーがよく使われます。

USB

メモリーがよく使われます。

未許可の端末（例：個人所有PC）などの持ち込みによるウイル検疫ネットワークの未許可USBメモリを強制的に排除できないため、不正なUSBメモリの読み込みによるウイルス感染の可能性。利用許可のあるUSBメモリ（暗号化機能付き）のみ利用するよう運用ルールが設定されている中運用ルールによる利用制限ウイルスを混入させた不正USBメモリの利用（送付、敷地内への放置、など）不正なUSBメモリの読み込みによるウイルス感染の可能性。強制的な「外部媒体への書き込み制御」機能の追加を検討中（「読み込み制御」の予定はなし）高 Securityソフトなどによるデバイス制限 USBメモリ利用制限標的型メールを開いてしまう（不審メールと見抜けない）ことによるウイルス感染の可能性。（※疑似訓練を実施しても、可能性は残る）未実施中標的型メール攻撃疑似訓練社内注意喚起だけでは、標的型メールを開いてしまう（不審メールと見抜けない）ことによるウイルス感染の可能性。必要時に随時実施中セキュリティに関する社内注意喚起不審メール対応

Webアクセス制御 Webフィルタリング高導入済み（iFilter) 不正URLがBLに登録されていなければ検出できない（URL）導入済み（IIJ迷惑メールサービス）導入済み（型式）お客様環境における現状中高対策優先度不正URLがBLに登録されていなければ検出できない。スパムメールコンテンツフィルタ不正メール対策（不正URL）未知のウイルスは検知できない。 GW型アンチウイルスサーバ不正メール対策（ウイルス）メール添付によるマルウェア送信、およびメール本文（URLリンク）による不正サイトへの誘導攻撃者は、外部ネットワークから組織内部に対して、攻撃コードを送り込むことを試みます。送信方法は、電子メールの添付ファイル、 URLリンク、USBメモリーなどがよくつかわれます現状における残存リスク対策案主な対策攻撃方法 STEP1：初期侵入