セキュリティ設計の観点で見た4つの対策項目
2014年にサイバーセキュリティ基本法が国会で可決・成立し、国を挙げたサイバーセキュリティへの取り組みが広がっている。なかでもセキュリティマインドを持った企業経営を推進するため、「サイバーセキュリティ経営ガイドライン」が策定された。
ここには主に経営者が認識すべき3原則と、経営者が担当幹部(CISOなど)に指示すべき重要10項目が示されている。なお現在は改訂に向けて準備中のため、近々最新の動向を踏まえた改訂版が発行される見込みだ。
S&J株式会社 コンサルティング部 部長 上原 孝之氏
肝心の具体的かつ技術的な対策は付録に添付されている。付録にある「望ましい技術対策」の詳細例について、上原氏がPDCAのうち何にあたるか、またセキュリティ設計の観点から大まかに4つに分類した。それが「1.ネットワーク分離」、「2.ログ収集・分析」、「3.設定による対策等」、「4.運用・チェック等」。それぞれの分野ごとに詳しく上原氏が解説する。
技術対策の例(技術的対策項目の詳細例) 出所:S&J株式会社 上原 孝之氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
1.ネットワーク分離
主眼は重要業務を行う端末やネットワークを分離することになる。多層防御措置とも言える。しかし、この前にやっておくべきことがある。防御対象を特定してリスクを把握しておくということ。全体像からリスクを把握しておかないと的確にネットワークを分離することができないからだ。
前段階となる防御対象の特定とリスクの把握をするには、組織が持つシステムの出入口を全て洗い出したネットワーク図を作成するところがスタートとなる。そこから守るべき情報資産がどこのサーバーや端末に保存されているかをマッピングして特定していく。そしてこれらのサーバーや端末が緊急時にネットワークから速やかに切り離しが可能かどうか、切り離す手順を確認する。
あとは実際に切り離すための措置を行う。重要な業務を行うネットワークや端末をスイッチやネットワーク機器で分離できるようにする。重要な情報を保存しているサーバーはネットワークを分離するだけではなくファイアウォールを設置し、データには暗号化、アクセス制限、アクセスログの収集ができるようにする。システム管理端末は専用端末とし、ネットワークセグメントを分離して防護しておく。
業務で分けるなら、例えば個人情報を扱う業務のネットワークは通常のインターネットに接続するネットワークから分離するなどする。仮想ブラウザや仮想メールクライアントを用いる方法もある。ユーザーは専用VDIクライアントでWeb閲覧やメール送受信を行い、インターネットへの直接の接続を極力避けるようにする。業務上VDIを導入できない部門や個人に対しては、そのセグメントとイントラネットの間にファイアウォールで制御する。
VDI(仮想ブラウザ)の導入事例 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
2.ログ収集・分析
ログの収集と分析については収集する対象と保存期間も重要になる。ファイアウォールやプロキシサーバーにある自組織から外部に出て行く通信ログだけではなく、サーバーや端末の操作ログ、認証サーバーのアクセスログも収集する必要がある。標的型攻撃だと、攻撃を受けてから検知まで半年から1年近くかかる場合もあるため、ログの保存期間は最低でも半年以上、できれば1年以上が望ましいとされる。検知した時点で「攻撃時のログはすでに廃棄ずみ」では詳しい分析ができなくなってしまう。
ログは収集したら分析も必要だ。ログの分析は高度な技術やノウハウが必要になるため、専門のベンダーなどに依頼して定期的に結果を共有することが多い。外部委託という意味ではインシデント対応など緊急時も想定して、自社でできることと他社に任せることを整理しておき、予算も確保しておく必要がある。
ログなどから得た情報は共有することも大事だ。普段から情報共有活動に参加したり、公的機関から提供される情報を収集しておくことも有益だ。
実際にインシデントが生じると、通信ログなどから感染端末や原因となるマルウェアなどを特定していく。認証サーバーのログからは攻撃をうけていないか、管理者アカウントが不正利用されていないかなどを確認する。こうしたログは原因特定だけではなく証拠保全としても重要になる。
もしログ分析システムを導入するなら、主な流れは下図の通り。脅威シナリオごとに対象ログを整理するというところは、例えば「外部からのメールによるマルウェア侵入/感染」なら対象ログはメールのアンチウイルス、メールのサンドボックス、メールサーバー、アンチウイルス管理サーバーなどになる。
統合ログ分析システム導入までの流れの図 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
ログを収集したサーバーは閉じたネットワークに配置するなど、保護も忘れてはならない。肝心のログが削除または改ざんされてしまっていたら正確な分析ができなくなる。統合ログ分析システムと連携したEDR(Endpoint Detection and Response)ツールがあると、各種ログを総合的に監視して一定のリスクスコアを超えると管理者にアラートをあげたり、任意のプロセスを停止するなどの対応がとれるようになる。
本レポートの講演資料(無料PDF)を期間限定で公開中!
本レポートの講演資料と、同社 代表取締役社長 三輪信雄氏の講演資料を2本同時公開します。自社の情報セキュリティ対策の参考資料としてぜひお役立てください。
(1)講演資料『サイバーセキュリティ経営ガイドラインとセキュリティ設計』(S&J株式会社 上原孝之氏 、全46ページ、無料PDF)
(2)講演資料『積み重ねるだけの多層防御の見直し~リスクを理解し許容すれば過剰なセキュリティは捨てられる~』(S&J株式会社 代表取締役社長 三輪信雄氏、全23ページ、無料PDF)
3.設定による対策など
いいセキュリティ機器やシステムを導入したとしても、設定が正しくなければ意味がない。確認する対象は広範にわたる。基本的なことではあるものの、ユーザーが使うパソコンではOSやアプリケーションがタイムリーに更新できているかどうか徹底しておく必要がある。
社内のセキュリティポリシーが各端末で徹底されているかも重要だ。例えば外部記憶媒体の使用がNGであれば、どの端末でもくまなく外部記憶媒体が使えないような設定にしておく必要がある。リスク低減のために「実行形式ファイルが添付されたメールは受信しない」、「業務で不必要なWebサイトにアクセスしない」などの方針を定めて徹底していく。
プロキシサーバー等でC&Cサーバーへの不正な通信をブロックできるようにすると侵入拡大防止につなげられる。端末間のファイル共有機能を停止するのも効果がある。認証サーバーはじめ各種サーバーへのアクセス権は必要な役割を持つ担当者のみに制限しておくことも大切だ。
4.運用・チェックなど
ここはシステムというよりは人間の行動に関係するところなので、教育や訓練が重要になる。やるべきことなどを周知徹底できるように、日々教育や情報共有を重ね、定期的に訓練を実施しておくといい。特にインシデント発生時には訓練の経験がきっと役に立つはずだ。
多くの企業にとって注意すべきなのは標的型攻撃への対策だ。標的型攻撃が疑われる不審メールはすぐに把握できるようにしておきたい。昨今の標的型攻撃はメール本文がとても巧妙にできているため、うっかり添付ファイルをクリックした社員を責めるのは酷だ。むしろユーザーを責めてしまうような社風があるとユーザーは申告しなくなってしまうことにもなりかねない。
上原氏は「報告を徹底することが大事」と言う。ある企業では、社員が使うメール画面に「不審メール提出」など不審メールを報告できるボタンを用意し、すぐに分析処理に回せるようにしている。早めに気づくことができたら、感染拡大防止に役立てることができる。
*****
最後に上原氏は技術対策のおおまかな流れをあらためてまとめた。まずは「防御対象の特定とリスク」からスタートし、次は「重要な機器やネットワークの分離や防御」と「ログやインシデント対応プロセスの整理」の2系統に分かれて対策を進めていく。前者はセキュリティ運用、後者はログ運用となり、それぞれ対策を充実させていく。そうすると万が一インシデントが生じた時には素早く対応し、被害拡大を防ぐことにつなげることができる。
本レポートの講演資料(無料PDF)を期間限定で公開中!
本レポートの講演資料と、同社 代表取締役社長 三輪信雄氏の講演資料を2本同時公開します。自社の情報セキュリティ対策の参考資料としてぜひお役立てください。
(1)講演資料『サイバーセキュリティ経営ガイドラインとセキュリティ設計』(S&J株式会社 上原孝之氏 、全46ページ、無料PDF)
(2)講演資料『積み重ねるだけの多層防御の見直し~リスクを理解し許容すれば過剰なセキュリティは捨てられる~』(S&J株式会社 代表取締役社長 三輪信雄氏、全23ページ、無料PDF)
