SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2017 イベントレポート(AD)

サイバーセキュリティ経営ガイドラインはこうやって実践せよ!S&J 上原孝之氏が解説

1.ネットワーク分離

 主眼は重要業務を行う端末やネットワークを分離することになる。多層防御措置とも言える。しかし、この前にやっておくべきことがある。防御対象を特定してリスクを把握しておくということ。全体像からリスクを把握しておかないと的確にネットワークを分離することができないからだ。  

 前段階となる防御対象の特定とリスクの把握をするには、組織が持つシステムの出入口を全て洗い出したネットワーク図を作成するところがスタートとなる。そこから守るべき情報資産がどこのサーバーや端末に保存されているかをマッピングして特定していく。そしてこれらのサーバーや端末が緊急時にネットワークから速やかに切り離しが可能かどうか、切り離す手順を確認する。  

 あとは実際に切り離すための措置を行う。重要な業務を行うネットワークや端末をスイッチやネットワーク機器で分離できるようにする。重要な情報を保存しているサーバーはネットワークを分離するだけではなくファイアウォールを設置し、データには暗号化、アクセス制限、アクセスログの収集ができるようにする。システム管理端末は専用端末とし、ネットワークセグメントを分離して防護しておく。  

 業務で分けるなら、例えば個人情報を扱う業務のネットワークは通常のインターネットに接続するネットワークから分離するなどする。仮想ブラウザや仮想メールクライアントを用いる方法もある。ユーザーは専用VDIクライアントでWeb閲覧やメール送受信を行い、インターネットへの直接の接続を極力避けるようにする。業務上VDIを導入できない部門や個人に対しては、そのセグメントとイントラネットの間にファイアウォールで制御する。

VDI(仮想ブラウザ)の導入事例 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

2.ログ収集・分析

 ログの収集と分析については収集する対象と保存期間も重要になる。ファイアウォールやプロキシサーバーにある自組織から外部に出て行く通信ログだけではなく、サーバーや端末の操作ログ、認証サーバーのアクセスログも収集する必要がある。標的型攻撃だと、攻撃を受けてから検知まで半年から1年近くかかる場合もあるため、ログの保存期間は最低でも半年以上、できれば1年以上が望ましいとされる。検知した時点で「攻撃時のログはすでに廃棄ずみ」では詳しい分析ができなくなってしまう。  

 ログは収集したら分析も必要だ。ログの分析は高度な技術やノウハウが必要になるため、専門のベンダーなどに依頼して定期的に結果を共有することが多い。外部委託という意味ではインシデント対応など緊急時も想定して、自社でできることと他社に任せることを整理しておき、予算も確保しておく必要がある。  

 ログなどから得た情報は共有することも大事だ。普段から情報共有活動に参加したり、公的機関から提供される情報を収集しておくことも有益だ。  

 実際にインシデントが生じると、通信ログなどから感染端末や原因となるマルウェアなどを特定していく。認証サーバーのログからは攻撃をうけていないか、管理者アカウントが不正利用されていないかなどを確認する。こうしたログは原因特定だけではなく証拠保全としても重要になる。  

 もしログ分析システムを導入するなら、主な流れは下図の通り。脅威シナリオごとに対象ログを整理するというところは、例えば「外部からのメールによるマルウェア侵入/感染」なら対象ログはメールのアンチウイルス、メールのサンドボックス、メールサーバー、アンチウイルス管理サーバーなどになる。

統合ログ分析システム導入までの流れの図 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 ログを収集したサーバーは閉じたネットワークに配置するなど、保護も忘れてはならない。肝心のログが削除または改ざんされてしまっていたら正確な分析ができなくなる。統合ログ分析システムと連携したEDR(Endpoint Detection and Response)ツールがあると、各種ログを総合的に監視して一定のリスクスコアを超えると管理者にアラートをあげたり、任意のプロセスを停止するなどの対応がとれるようになる。

本レポートの講演資料(無料PDF)を期間限定で公開中!

 

本レポートの講演資料と、同社 代表取締役社長 三輪信雄氏の講演資料を2本同時公開します。自社の情報セキュリティ対策の参考資料としてぜひお役立てください。

(1)講演資料『サイバーセキュリティ経営ガイドラインとセキュリティ設計』(S&J株式会社 上原孝之氏 、全46ページ、無料PDF)

(2)講演資料『積み重ねるだけの多層防御の見直し~リスクを理解し許容すれば過剰なセキュリティは捨てられる~』(S&J株式会社 代表取締役社長 三輪信雄氏、全23ページ、無料PDF)

詳細&資料ダウンロードはこちら!

次のページ
3.設定による対策など

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9805 2017/11/06 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング