Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

サイバーセキュリティ経営ガイドラインはこうやって実践せよ!S&J 上原孝之氏が解説

edited by Security Online   2017/11/06 06:00

1.ネットワーク分離

 主眼は重要業務を行う端末やネットワークを分離することになる。多層防御措置とも言える。しかし、この前にやっておくべきことがある。防御対象を特定してリスクを把握しておくということ。全体像からリスクを把握しておかないと的確にネットワークを分離することができないからだ。  

 前段階となる防御対象の特定とリスクの把握をするには、組織が持つシステムの出入口を全て洗い出したネットワーク図を作成するところがスタートとなる。そこから守るべき情報資産がどこのサーバーや端末に保存されているかをマッピングして特定していく。そしてこれらのサーバーや端末が緊急時にネットワークから速やかに切り離しが可能かどうか、切り離す手順を確認する。  

 あとは実際に切り離すための措置を行う。重要な業務を行うネットワークや端末をスイッチやネットワーク機器で分離できるようにする。重要な情報を保存しているサーバーはネットワークを分離するだけではなくファイアウォールを設置し、データには暗号化、アクセス制限、アクセスログの収集ができるようにする。システム管理端末は専用端末とし、ネットワークセグメントを分離して防護しておく。  

 業務で分けるなら、例えば個人情報を扱う業務のネットワークは通常のインターネットに接続するネットワークから分離するなどする。仮想ブラウザや仮想メールクライアントを用いる方法もある。ユーザーは専用VDIクライアントでWeb閲覧やメール送受信を行い、インターネットへの直接の接続を極力避けるようにする。業務上VDIを導入できない部門や個人に対しては、そのセグメントとイントラネットの間にファイアウォールで制御する。

VDI(仮想ブラウザ)の導入事例 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

2.ログ収集・分析

 ログの収集と分析については収集する対象と保存期間も重要になる。ファイアウォールやプロキシサーバーにある自組織から外部に出て行く通信ログだけではなく、サーバーや端末の操作ログ、認証サーバーのアクセスログも収集する必要がある。標的型攻撃だと、攻撃を受けてから検知まで半年から1年近くかかる場合もあるため、ログの保存期間は最低でも半年以上、できれば1年以上が望ましいとされる。検知した時点で「攻撃時のログはすでに廃棄ずみ」では詳しい分析ができなくなってしまう。  

 ログは収集したら分析も必要だ。ログの分析は高度な技術やノウハウが必要になるため、専門のベンダーなどに依頼して定期的に結果を共有することが多い。外部委託という意味ではインシデント対応など緊急時も想定して、自社でできることと他社に任せることを整理しておき、予算も確保しておく必要がある。  

 ログなどから得た情報は共有することも大事だ。普段から情報共有活動に参加したり、公的機関から提供される情報を収集しておくことも有益だ。  

 実際にインシデントが生じると、通信ログなどから感染端末や原因となるマルウェアなどを特定していく。認証サーバーのログからは攻撃をうけていないか、管理者アカウントが不正利用されていないかなどを確認する。こうしたログは原因特定だけではなく証拠保全としても重要になる。  

 もしログ分析システムを導入するなら、主な流れは下図の通り。脅威シナリオごとに対象ログを整理するというところは、例えば「外部からのメールによるマルウェア侵入/感染」なら対象ログはメールのアンチウイルス、メールのサンドボックス、メールサーバー、アンチウイルス管理サーバーなどになる。

統合ログ分析システム導入までの流れの図 出所:S&J株式会社 上原 孝之氏、
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 ログを収集したサーバーは閉じたネットワークに配置するなど、保護も忘れてはならない。肝心のログが削除または改ざんされてしまっていたら正確な分析ができなくなる。統合ログ分析システムと連携したEDR(Endpoint Detection and Response)ツールがあると、各種ログを総合的に監視して一定のリスクスコアを超えると管理者にアラートをあげたり、任意のプロセスを停止するなどの対応がとれるようになる。

本レポートの講演資料(無料PDF)を期間限定で公開中!

 

本レポートの講演資料と、同社 代表取締役社長 三輪信雄氏の講演資料を2本同時公開します。自社の情報セキュリティ対策の参考資料としてぜひお役立てください。

(1)講演資料『サイバーセキュリティ経営ガイドラインとセキュリティ設計』(S&J株式会社 上原孝之氏 、全46ページ、無料PDF)

(2)講演資料『積み重ねるだけの多層防御の見直し~リスクを理解し許容すれば過剰なセキュリティは捨てられる~』(S&J株式会社 代表取締役社長 三輪信雄氏、全23ページ、無料PDF)

詳細&資料ダウンロードはこちら!


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2017 イベントレポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5