PCI DSS v4.0で変わるセキュリティ対策のポイント

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2枚のクレジットカードのイメージ

PCI DSS v3.2.1の引退まで1年を切っていますが、対応状況はいかがでしょうか。2022年3月31日にリリースされたPCI DSS v4.0の準拠運用は、即時要件に対しては遅くとも2024年4月に開始される時期となり、システム系の大きな変更点が伴う未来日付要件を含めたv4.0完全対応完了までは、残り1年半となっています。この記事では、PCI DSS v4.0で変わるセキュリティ対策のポイントについて、脆弱性診断に関する要件に着目し、今後どのように対応すべきかについて解説します。


PCI DSS v4.0:新たなセキュリティスタンダードへの移行

PCI DSSとは、Payment Card Industry Data Security Standardの頭文字をとったもので、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準です。American Express、Discover、JCB、MasterCard、VISAの5つのカードブランドによって設立された組織、PCI SSC(PCI Security Standards Council)によって管理されており、クレジットカードを取り扱うすべての事業者に対して、カード情報の保護とセキュリティの実施を求めるものです。この基準に準拠することで、クレジットカードを取り扱う事業者の信頼性と顧客の安心感を高め、ブランド価値の保護、そして業界全体のセキュリティレベルの向上に寄与します。

2022年3月31日には最新版PCI DSS v4.0が発表されました、 以前のメジャーバージョンであるPCI DSS v3.0は2013年11月に発表されたもので、今回8年4か月ぶりのメジャーアップデートとなります。今後2024年3月31日には2年間の移行期間が終了したv3.2.1が引退し、以降v4.0のみが有効な基準となることが決まっています。

PCI DSS v4.0移行スケジュール

未来日付要件は、現在はベストプラクティス要件の位置づけのため、2025年3月31日までは対応必須ではありません。しかし、残り1年半程度の対応期間の中で、システム改修や新規ソリューション導入等を行わなければならない場合、予算化や製品選定、対応ベンダ選定、運用に向けた検証作業、手順書見直しなど、対応すべき事項は決して少なくありません。

少なくとも今年度中には、要件の要求ポイントと自組織に不足する要素を洗い出し、対応スケジュールの立案が済んでいることが望ましい時期です。

PCI DSS v4.0改定のポイント

PCI DSS v4.0は、従来のv3.2.1に比べて、以下のようなポイントで改定されています。

● 決済業界のセキュリティニーズに対応
● 継続的なプロセスとしてセキュリティを促進
● さまざまな方法論に柔軟性を追加
● 検証方法を強化

出典:https://www.pcisecuritystandards.org/document_library/
PCI-DSS-v4-0-At-a-Glance-r1-JA.pdf

PCI DSS v3.2.1からの主な変更点

PCI DSS v4.0では、いくつかの重要な変更点があります。事業者がPCI DSS準拠の対応を検討する際には、これらの変更点に注意を払う必要があります。

要件タイトル変更

まず、大きな変更の一つ目が、要件タイトルの変更です。要件9以外すべてが変更となりました。加えて、要件の理解を高めるために、詳細要件と用語の定義、文章の修正が行われました。

PCI DSSv4.0要求事項(PCIデータセキュリティ基準まとめ)

進化した要件

次に、新たな脅威や技術、決済業界の変化に対応するため追加された新規要件や、既存要件が一部変更/削除されたものがあります。該当する要件は67件ありますが、その中でも大きなものとしては、以下のようなものがあげられます。

PCI DSS v4.0新要件内容まとめ

多要素認証について

PCI DSS v4.0では、要件8.5.1にて、多要素認証(MFA)について、実装方法が明確に要件化されました。

PCI要件8.5.1「多要素認証の構成について」要件内容

また、要件8.4.2では「カード会員データ環境(CDE)へのすべてのアクセス」にMFA(多要素認証)が要求されることになりました。8.4.3では「カード会員データ環境(CDE)にアクセスまたは影響を与える可能性のある、事業体のネットワーク外から発信されるすべてのリモートネットワークアクセス」に対してもMFAが求められており、それぞれでMFAが必要となります。

これは例えば、ある担当者が最初にリモートアクセスによって事業者のネットワークに接続し、その後ネットワーク内からカード情報データ環境(CDE)への接続を開始した場合、その担当者は「事業者のネットワークにリモートで接続するとき」と「事業体のネットワークからカード会員データ環境(CDE)へアクセスするとき」の2回、MFAを使用して認証する必要があるということです。なお、CDEへのアクセスに対するMFAはネットワークまたはシステム/アプリケーションのレベルで実装することができます。CDEネットワークに接続する際にMFAを使用した場合、その後のCDE内の各システムコンポーネントにログインする際には追加のMFAを使用する必要はありません。

脆弱性診断に関する主な変更点

PCI DSS v3.2.1からv4.0への変更点のうち、脆弱性診断に関わるポイントとしては以下の3点が挙げられます。

脆弱性診断に関する主な変更点(脆弱性スキャンの頻度・認証スキャンの実施・ペネトレーションテストの内容)

脆弱性スキャンの頻度は「四半期に一度」だったところが「3カ月に1回」へと変更されました。PCI DSSの時間枠要件の意図は「その時間枠を超えない範囲で、できるだけ近い感覚で実行されること」であるところを、「四半期に一度」では最大半年ほど間隔があいてしまうことも許容することになってしまうため、厳格化されたものと思われます。

認証スキャンの実施については、十分な特権ユーザのID/パスワードのアカウント、もしくはクライアント証明書を保持した状態であることが必要になります。十分な権限による脆弱性スキャンができない事情がある場合は、当該システムについて文書化することが求められます。

ペネトレーションテストに求められる内容については、PCI DSS v3.2.1では、業界承認のテスト方法(NIST SP800-155など)であればよいと規定されていましたが、結果としてペンテスターへの依存度が高くなり、さまざまな形態のペネトレーションテスト結果の提出が許容される形となっていました。こうした状況を是正し、準拠レベルを標準化するため改定されたのではないかと考えられます。

脆弱性診断実施にあたって求められる対応

PCI DSS v4.0では脆弱性診断実施にあたって求められる対応にも変更があります。高リスクの脆弱性(CriticalやHigh)以外の脆弱性、すなわち中・低リスクの脆弱性(MediumやLow)についても、ターゲットリスク分析の上で対応をすることが要求されています。また、脆弱性は日々新しいものが発見・更新されていますので、各種のスキャン等で検出された高リスクの脆弱性対応だけでも大きな負担であるところを、さらに中低のリスクとされる脆弱性についても対処が必要となると、脆弱性管理は非常に負担の大きな作業になることが予想されます。

PCI DSS v4.0に求められる脆弱性診断のポイント(診断実施機関の長期化・診断実施時のリスクの考慮)

QSA(Qualified Security Assessors:認定審査機関)の見解次第ではありますが、ターゲットリスク分析の結果、『対処の必要なし』と判断した事業者側の意見が通った場合は別として、中低リスクの脆弱性についても対処が基本的に必要になると考えますと、今まで通りのやり方(PCI DSS v3.2.1手法の脆弱性管理)では指摘を受ける可能性もあります。この規定の”目的”部分を見ると、機械的に中小リスクだから対応は一律不要と判断するのではなく、ターゲットリスク分析において、きちんとした根拠を持って”対処が不要”とした事業者が結論を出す必要があると読み取れます。

脆弱性診断に関する主な変更点については、SQAT® Security Report 2023年 春夏号
PCI DSS v4.0で変わる脆弱性診断 ~2024年4月1日完全移行で慌てないために~」でも取り上げています。
以下より資料(PDF)ダウンロードいただけますので、ぜひご参考ください。
https://www.sqat.jp/sqat-securityreport/

PCI DSS v4.0への移行に向けて

PCI DSSの準拠対応を検討する事業者にとって、PCI DSS v4.0への移行は重要な課題です。新たな要件や変更点に対応するためには、準備が必要となります。

PCI DSS v4.0準拠までのステップ

● PCI DSS v4.0の精査
● 現状の環境での差異を把握
● 詳細化・明確化要件の対応を開始
● 新規要件およびシステム化対応の予算を確保
● 新規要件およびシステム化対応の実施
● 全体の対応状況の確認

PCI DSS v4.0では、ここで取り上げたほかにも、クラウド環境でのセキュリティ要件の明確化、セキュリティ管理の強化といった変更点もあります。事業者はv4.0に準拠対応しようとした場合、従来よりも高いレベルのセキュリティを実現することが求められます。専門家の助言や適切なソリューションを活用することが、スムーズな準拠対応の一助となるでしょう。当社ブロードバンドセキュリティがその助けとなれば幸いです。

関連情報

ウェビナー抜粋動画

過去ご好評いただいたウェビナーの抜粋動画を無料で公開しています。

「今さら聞けない!PCI DSSで求められる脆弱性診断あれこれ」
PCI DSSの準拠対応についてご紹介しつつ、PCI DSSで求められる脆弱性診断とペネトレーションテストの概要について今さら聞けない!?内容を徹底解説しています。今後も皆様のお役に立てるセミナーを企画してまいりますので、ご要望がございましたらぜひ、お問い合わせください。


BBSecでは

BBSecは、PCI SSC認定QSA(PCI DSS準拠の訪問審査を行う審査機関)です。準拠基準についての疑問や対応困難な状況があるといったような懸念・不安などは曖昧なままにせず、QSAにご相談いただくことをおすすめいたします。準拠に向けた適切な対応を検討するためのアドバイスや、事情に応じた柔軟な対応も可能です。

お問い合わせはこちら
※外部サイトにリンクします。

PCI DSS v4.0対応脆弱性診断サービス随時対応受付中!

次回ウェビナー開催のお知らせ

・2023年10月18日(水)13:50~15:00
自動車産業・製造業におけるセキュリティ対策のポイント -サプライチェーン攻撃の手口と対策方法-
・2023年11月15日(水)13:50~15:00
Webアプリケーションの脆弱性対策 -攻撃者はどのように攻撃するのか-

最新情報はこちら


Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2022年下半期 診断結果分析~

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2023年 春夏号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期(7月~12月)実施結果より、セキュリティ対策の実情についてお伝えする。

2022年下半期診断結果

Webアプリ/NW診断実績数

2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

2022年下半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は19.0%で、5件に 1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)Webアプリ編の表

長年知られた脆弱性での攻撃

Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。

「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10(2021)」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)NW編の表

SNMPにおけるデフォルトのコミュニティ名の検出

ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内 部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名に は、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これ を利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

2022年下半期 カテゴリ別脆弱性検出状況

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2023年 春夏号

Webアプリケーション診断結果

2022年下半期カテゴリ別診断結果円グラフ(Web)
2022年下半期診断結果_「セッション管理に関する問題」棒グラフ
2022年下半期診断結果_「システム情報・ポリシーに関する問題」棒グラフ
2022年下半期診断結果_「重要情報の取り扱いに関する問題」棒グラフ
2022年下半期診断結果_「認証に関する問題」棒グラフ
2022年下半期診断結果_「入出力制御に関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

2022年下半期カテゴリ別診断結果円グラフ(NW)

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

2022年下半期診断結果_「通信の安全性に関する問題」棒グラフ
2022年下半期診断結果_「設定に関する問題」棒グラフ

診断結果にみる情報セキュリティの現状はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

<インタビュー>門林 雄基 氏 / 奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授【後編】

Share

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、後編をお届けします。

(聞き手:BBSec SQAT.jp編集部)


サイバー攻撃の多様性

新たな攻撃の予想

━━今年はこれまでもすでに発見されていたが放置されてきた脆弱性が再発見されたり、新たに発見されたりした脆弱性を悪用したサイバー攻撃が話題になりました。それを踏まえ、今後新たな流行として予想される攻撃や今の時点で考えられる攻撃がありましたらどんなものがありますでしょうか?

門林:色々起きてますが、犯罪教唆にならない範囲で考えますと、クラウドとかでしょうか。クラウドはかなり巨大になってきていますので、問題は起きるかなとは思いますね。やはり色んな方がクラウドを使っていますよね。

━━そうですね。最近はテレワークの導入率も6割程度という調査結果も出ているという風に聞きます。

門林: 結局そのクラウドの方がちゃんとやっているから安全というように事業者の方はよくおっしゃるんですが、中小から大企業までみんながクラウドを使っているということは、当然反社もハッカー集団もクラウドを使っているわけです。だから隣のテナントは反社かもしれないという状況で、企業も何万社とあって、クラウド事業者側でもみえてないです。

門林先生インタビュー写真3

見通しが明るくない話ばかりになりますが、クラウドはほんとに色んな問題を抱えて走っています。もちろんその問題を抱えたうえでリスクを潰しながらオペレーションできればいいんですが。これもやはり10年ほどやってきている話で、進展も激しいですし、色々積み重なっています。結局古い問題がなくならないので、我々専門家も日々話題にする脆弱性で、これ10年前にも同じ話あったよねというのがもう頻繁に出てくるわけです。ですのでクラウドに関しても、おそらく5年前とか10年前にあった脆弱性のぶり返しと新しい攻撃キャンペーンが組み合わさるとなんか起こるだろうなと思います。

今できる共通の対策

━━今後もありとあらゆる攻撃が予想されるということがお話伺っていてわかりました。それぞれの攻撃に対しては、対策をとっていく、防御していくことが重要になってくることかと思いますが、今できる共通の対策として、まず何をすべきでしょうか?

門林:基本に忠実にやるということしかないです。新しいトピックだけ追いかける人が多いですが、サイバーセキュリティという領域が生まれてもう30年です。脆弱性データベースの整備も始まって30年くらいたっていると思います。で、そのなかに10年選手、5年選手あるいは15年選手の脆弱性があるわけです。マルウェアもわざわざ古いマルウェアを使うという攻撃もあるんです。古いマルウェアだと最近のアンチウィルスソフトでは検知しないからあえて使うなどという色々な話があって、結局新しいことだけに注目してニュースを追って新しい製品を買ってというようにやっていると、5年前とか10年前の脆弱性に足をすくわれると思うんです。ですのでここはもう基本に忠実にやるしかないわけです。

セキュリティ全般の話ですが、やはり30年分の蓄積があるので、それを検証できるだけのスキルを持っていなければいけないですし、なんなら製品ベンダーさんの方が基本的な話を知らなかったりしますからね。

どんな対策が有効?

━━リスク管理の原則という話も少し出ましたが、企業においては情報資産の棚卸しというところも重要になってくると思います。弊社では脆弱性診断サービスを提供していますが、こういったサイバー攻撃への対策として、脆弱性診断サービスは有効に働くでしょうか?

門林:この業界はぽっと出だと私は危ないと思っています。セキュリティ診断会社が裏で反社と繋がっていて脆弱性診断を結果流していたという話もあり得ない話ではないので、ちゃんとした会社に依頼するということが私は大事だなと思ってます。

BBSecさんはもう22年くらいやっているとのことですが、やっぱりそれくらいやってる会社じゃないとかなり重要なシステムの脆弱性診断とか任せられないんじゃないかなと思いますし、それだけやってらっしゃる会社さんだからこそ、昔の脆弱性や最近の脆弱性、あるいは5年10年前の脆弱性というところも経験があって、ある意味チェック漏れといいますか、抜け漏れみたいなのもないと思うんです。やはり脆弱性診断みたいな、セキュリティの話で”水を漏らさず”みたいなところに尽きると思うんです。水を漏らさずどういう風に検査するかというともう経験値が全てだと思うんです。色々なシステムを検査してきた経験値というのが今にいきていると思いますし、そういうの無しに最近できた会社なんですよといって診断されても、そこの製品、俺だったら簡単に迂回できるなと思ってしまいますね。

終わりに…

これからセキュリティ業界に携わりたい方に向けて

━━ありがとうございました。では最後に、これまでのトピックスを振り返りつつ、これからセキュリティ業界に携わって働いていきたいという方やすでにもう業界で経験がある方でこれからもっとステップアップしていきたいというSQAT.jp読者に対して、門林先生からのメッセージをいただければと思います。

門林:サイバーセキュリティというと、プログラミングとかそういうのに詳しい人だけと思われがちなんですが、そうではないんだということです。もう今は総力戦になってますので、プログラミングやセンサーに詳しい人も歓迎ですし、あるいは人間の心理とか社会学とかのスキルとかそういうのに詳しい人も歓迎ですし。結局人間の脆弱性、ソフトウェア・ハードウェアの脆弱性など色々なものがあるなかで、それらすべてに相対していかなければならないわけです。プログラミングやマルウェア解析がすごいという人だけではなくて、いろんな人に来ていただきたいなと思いますね。

あともう一つ大事なのは、やはり優しさです。パソコンに詳しい、俺はプログラミングがすごいだけではなくて、実際サイバー攻撃にやられてしまった現場に行っても、「大丈夫ですか?」とできる人、例えば、「ランサムウェアの現場大変ですね、何とか復号しましょう」、というように。きれいじゃない現場というのがたくさんあるように、これから人間の失敗の顛末みたいな所も目にすると思います。各社・各業界の事情もありつつ、失敗の形跡もありつつ、そういう所で火消しをする、手続きの話をするというかたちになるので、結局その現場に入る人、セキュリティの業界に入る人はやっぱり弱者の側に立たないといけないんです。

CTFとかそういうものをやってると優秀な人こそ勝つという感じの発想の人もいると思うんですが、私は、そういうゲーム的な「俺はサッカーが上手いからすごいんだ」という人が来てくれるよりは、むしろ消防あるいは看護婦・お医者さんのような弱者・敗者に寄り添うセンス、かつプログラミング・技術もできる、法律もハードウェアもできるといった、そういう人間としてのキャパシティーをもった人に来ていただきたいなと思います。「俺はこのツールが使えるんだすごいだろ」という感じの人はたくさんいる気がするので、そうではない側の人、人としての優しさを備えてかつテクノロジー・法律といった様々なスキルを研鑽していこうと思える人にきてほしいですね。

━━弊社は脆弱性診断診断サービス以外にもインシデント対応やコンサルティングの提供もしているので、そういう意味でも、技術力だけじゃなく、人間性みたいなところも比較的重要になってくるのかなと個人的にも思います。本日はありがとうございました。

ーENDー
前編はこちら


門林 雄基 氏
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。


「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
「お問い合わせはこちら」ボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

SQATセキュリティ診断サービスの告知画像
BBSecロゴ
リクルートページtop画像
セキュリティトピックス告知画像

<インタビュー>門林 雄基 氏 / 奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授【前編】

Share

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、前編をお届けします。

(聞き手:BBSec SQAT.jp編集部)


はじめに…

SQAT® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

━━早速ですが、弊社で半期に1回、セキュリティに関する情報をまとめてお届けしているSQAT® Security Reportの最新号(※10/26公開予定)では門林先生にご執筆を依頼していたかと存じます。まずはこちらについてご質問をさせていただければと思っております。

━━「セキュリティの現在過去未来」 ということで、専門家の知見からセキュリティの歴史を振り返っていただいています。私も先日拝読させていただいたのですが、セキュリティに対してあまり馴染みのない方でもセキュリティ意識を見直すきっかけになる大変素晴らしい記事になっているなと感じました。今回の記事について、執筆後のご感想や伝えておきたいポイントや読者へのメッセージがあればお願いいたします。

門林先生インタビュー写真1

門林:そうですね、セキュリティの記事をご依頼いただいて、振り返ってみるともう早いもので30年なんですよね。私が今53歳になりますので、それぐらいやはり時間がたってしまったということですね。このセキュリティという領域も最初は一部のマニアックな人、いわゆるハッカーのような人が騒いでいるだけという状況から始まり、今や社会問題になってもう10年、15年たちますが、一向に解決されないという状況です。この時間の流れを写し取れたらと思い今回の記事を書きました。

最近セキュリティ業界に入った方や若い世代の中には「セキュリティへの対策を考えることは重要な問題でさぞかし昔からちゃんとやっていたんだろう」と思われる方もいるかもしれませんし、あるいはまだまだ新しい領域なので「誰も何もやっていないから俺がいたら何とかなる」と思っている方もいらっしゃるかもしれませんが、実は最初は「何かしないと大変だ」と考えていた人は本当に一握りでした。

当時はインターネットバブルで、誰もがインターネットに繋ぐだけでもうかると思ってました。当然、その傍らでリスクが生まれるわけですが、昔はインターネットを作っていた人は「いや、セキュリティね、あはは、そんな問題あるよね。それ、きりないじゃん」と笑ってたわけです。しかし、実はもう30年ぐらい前から問題としては予見されていました。

例えば30年以上前の雑誌記事で、”インターネットがもし商業化されたら世界中は迷惑メールであふれかえる”という予測を立てた記事があり、当時学生だった私は アメリカのとある有名な方にその記事について質問攻めにしました。ところが、最終的な答えとしては「I don’t know(知らないよそんなこと)」 と。つまりその誰一人として問題に対して根本的な解決策を提案しないまま今に至っているわけです。

100年以上前、自動車が街を走り始めたときには、「こんなものは殺人兵器だ」といった新聞の批判的な報道もあったと聞いています。ところが当時から批判をされていたにも関わらず、ここ50年自動車はずっと人を轢き続けていたわけです。最近でこそ衝突安全装置という技術開発がされてますが、そこまで50年~70年かかっています。インターネットでも同様です。1995年あたりに商業化され、爆発的に広まり25年以上たちますが、セキュリティの問題として迷惑メール・情報漏洩・DDos攻撃など様々なものが予見されていたと思うのですが、結局そのままになってしまっているという状況です。

ですので最近セキュリティ業界に入った方や若い世代の方にもそういった流れで物事を見てほしいというのと、もしその自分の代で解決できなくても頑張るくらいの気合を持ってほしいなと思っています。私自身セキュリティの問題は5年10年すれば解決できると思っていましたが、結局そこから20年以上たって今に至るという感じです。ある意味では若い世代の方にとってはチャンスかもしれません。自動車も技術開発されるまで70年かかってるので、セキュリティも同じくらいのタイムスパンで世代を超えて頑張らないといけないかなと思います。

━━ありがとうございます。インターネットが発展するとともにサイバー犯罪も増加するという形でいたちごっこの様態を呈していますよね。しかし、自動車業界の衝突安全装置の前例から学び、世代を超えて意識を高く持ち続けることでいずれはセキュリティの問題も解決へ向かうように、私たちセキュリティベンダーも啓蒙し続けていかなければならないと感じました。

2022年のセキュリティニュースを振り返って…

━━では続いて2022年のセキュリティニュースを振り返っていきたいと思います。今年話題になったセキュリティに関するニュースとして、例えばApache Log4jの脆弱性や SolarWinds社製品の脆弱性など、脆弱性を悪用した攻撃が次々に登場しました。サイバー攻撃グループがいま狙っている業界としてはどういったところがあるのでしょうか?最近は業界の区別なく狙われているという話もあるかと思いますがいかがでしょうか?

門林:まず申し上げておきたいのはメディアで騒がれるものと、実際に犯罪やサイバー攻撃に悪用されるものは違うということです。メディアでは基本的に新しい脆弱性などの話題を取り上げますが、その前にも既知の脆弱性は3万件以上蓄積があるわけです。Log4jに関しては、確かにJavaのソフトで広く使われているため色々なシステムで対応に追われましたが、直ちに攻撃に使われるという話ではありませんでした。ですのでメディアで報道される=直ちに攻撃されるから対策しなければという話ではなく、むしろ忘れたころにやってくる、というところです。

また、SolarWindsやSpring4Shellも一時期メディアで騒がれましたが、実はSolarWindsは日本では全然使っていません。ですので影響範囲も全くなかったと私は思います。Spring4Shellに関しては、実際解析してみると特定のJavaのバージョンのみに影響があるだけで、実はそこまでSpring4Shellの脆弱性は影響がありませんでした。つまり、現場での感覚とメディアでの感覚がだいぶずれてきているなというのが特に今年の脆弱性関連での報道を見て感じるところです。

━━ありがとうございます。 最近では企業規模の大小問わず狙われていて、中小企業もターゲットになっているという話もあるかと思うのですが、こちらについてはどのような理由が考えられますでしょうか?

門林:大企業の場合はそれなりに対策をしているのでなかなか侵入しづらくなっているのではないかと思います。攻撃者側も攻撃しやすいターゲットを狙うと思いますが、中小企業の場合はセキュリティの重要性もよく分かっていないところが多く、狙いやすいのかなと思います。実際、様々な企業で泣き寝入りしてしまったという事案も聞きますが、中小企業の場合は知名度もあまりないため、被害にあっても報道もされません。無名でももうオペレーションが停止してしまったという状況になればようやく報道されるというわけです。

これも氷山の一角で、メディアが無視しているランサムウェア案件はおそらくいくらでもあると思います。中小企業は実際狙われていると思いますし、よくいうのはやられていても気がつかないのではないかということです。ランサムウェア攻撃のように分かりやすくもう全部暗号化して使えないようにしたらさすがに気付くと思います。ですが中小企業の秘密情報や個人情報・取引先の大企業の情報が狙われるという話は10年とか15年のスパンでずっと起こっていて、中小企業で働いている方々はそれに気づきもしていないのではないかと思います。

最近注目した記事や話題

━━なるほど、ありがとうございました。ではここで少し視点は変わりますが、弊社の勉強会では、先生の方からセキュリティベンダーが提供しているレポートやニュースサイトの記事を色々とご紹介いただいていると思うのですが、先生の方で最近注目している記事やトピックがもしありましたらぜひご紹介いただければと思うのですがいかがでしょうか。

門林先生インタビュー写真2

門林:最近ですとやはりサプライチェーンです。特に「ソフトウェアサプライチェーン」といって、例えば我々が使っているWebサーバをはじめ、ビットコインのウォレット等で使うライブラリあるいはソフトウェアを管理しているシステムを狙ってハッキングしてくるというのがどんどん増えています。昔でいうとソフトウェアの欠陥を狙いハッキングするというやり口が多かったのですが、もう最新のWindowsはたとえ50人くらいで寄ってたかってもハッキングできません。ハッカーもそれは諦めていて、ソフトウェアの本当の気づかないような小さなライブラリにバックドア(侵入経路の穴)を仕掛け、そこからシステムに侵入して、ビットコインの財布を狙うといった感じになってきています。ここがやはりここ1~2年の懸念すべきトレンドかなと思ってみています。

━━そういう問題でいうと国内外問わず狙われるのも時間の問題と考えられますね。

門林: そうですね。昔であれば日本語が分からないから大丈夫だなどといわれていましたが、今は日本語の自動翻訳機能はかなり精度が良いものもあるため狙われてしまいます。そのため、日本は大丈夫という感じであぐらをかかず、海外企業と同じくらい、攻撃に対して備えるということが良いのではないかと思います。

海外と比較して~日本国内のセキュリティ事情

━━先ほどのお話にも少しありましたが、日本は海外と比べるとセキュリティへの意識がまだ低いというような話もよく耳にします。この前提を踏まえまして、日本がこれから狙われるとしたらどんな攻撃が考えられますでしょうか?

門林:最近、地政学的な緊張感の高まりというのがありまして、地政学的な事案というのがどんどん増えています。 例えば皆さんがお使いのGPS(Global Positioning System)機能ですが、海外、特に紛争地域ではGPSを狙った攻撃というのもたくさん起きてきています。 日本も海運国家ですから例えばアメリカで起きているようなGPS等が攻撃されて船が通れず、資源が届かないとなると物流が停止し、産業が成り立たなくなってしまう可能性があります。こうしたサイバーでない事案も起こり得るわけです。

ですのでこの辺りは特に注目しています。また、ヨーロッパの方で起きている戦争では衛星ネットワークがハッキングされ停止していますが、日本では全く報道されていません。ハッカーがモデムをハッキングしたことで、衛星でオペレーションしていた物流のIoTが停止しビジネスも停止してしまったという事案になっているわけです。ですから、GPSであったり衛星であったり、我々からすればパソコンとは関係なさそうな世界であっても、サイバー攻撃でやられる、という視点ももっておくことはすごく大事かなと思います。

━━もはや業界も関係なく狙われてしまうというという危機意識を持つことが私たちにはまだまだ足りていないということですね。セキュリティ業界に携わっていない人に対してセキュリティに対する意識を高めていくように訴求していくという難しさを感じます。

門林:そうですね、おそらく物流をやっている人や船を運行している人からすると何のことだと思いますが、ただ彼らからするとびっくりするような話というのが海外だと起きてますし、それが日本で起きない保証はないわけです。

ランサムウェア市場の活況

━━特に、ランサムウェア攻撃に関してはビジネスとして確立しているということもあり、海外特に欧米企業などでは次々と被害報告が上がっています。今後日本にはランサムウェアギャングはどのようにして入り込んでくると考えられるでしょうか?難しいとも思うのですが。

門林:結局言葉の問題がありますからね。 犯罪者の人たちも資金回収するときには日本語を使わないといけないので、そこは確かにひとつハードルになっているとは思います。

とはいえランサムウェアでやられている日本企業もたくさんあるわけですが、アメリカの場合、上場企業は身代金の支払い要求を受けた場合に報告義務がありますが、日本の場合は上場してても報告義務がありません。この差が非常に大きくて、日本企業でもランサムウェア事案でも泣き寝入りしてごっそりお金を払ってしまうということもしているとは思いますが、法的な報告義務がないために表にならないんです。アメリカの方でランサムウェア被害がたくさん起きているという感じで他人事みたいに見えていても、実は身内で起きているインシデントが全然見えていないだけかもしれません。

海外ではもちろんものすごいペースでランサムウェア被害が起きていますが、とはいえ結局反社会勢力にお金を払うというのは海外であっても日本であってもNGですから、身代金を支払ったらそれで終わりという話ではないですし、やはり次の脅迫が忘れたころに起きます。当然、反社会勢力と取引をしたらその企業はブラックリストに入りますし、日本企業でもランサムウェア身代金を支払うことでアメリカでブラックリストに入ってしまったために輸出ビジネスができなくなってしまったという話が実際にあります。これはビジネスが続行できなくなる、BCP(事業継続計画)リスクです。ランサムウェア被害を受けたときのリスクよりも、企業が存続できなくなるリスクを考えた方がいいかなとは思います。

ランサムウェア攻撃の手口は進化している

━━また、ランサムウェア攻撃に関しては海外の方では新しい手口が次々と登場しているかと思います。例えばマルウェア入りのUSBを送りつけるパターンやランサムウェアDDos攻撃など新たな攻撃手法がいろいろと確立していて、従来の二重の脅迫(暗号化+データの暴露)がいま三重の脅迫と、脅迫の手法も進化してきているという話も耳にしているのですが、この三重の脅迫というのは具体的にどのようなことになるのでしょうか?また日本でもすでにこういった手口は使用されているのでしょうか?

門林:はい。あまり明るくない話なのですが、一般論として申し上げると、ランサムウェアを専門にする業者は星の数ほどいるわけです。つまりランサムウェアの学校があって、毎週100人単位で卒業生を出しているので、独立したランサムウェア事業者がもう何万人といるわけです。たまたま中国語が読めるからじゃあ日本をターゲットにやりましょうという人もいるかもしれません。当然、その他のランサムウェア事業者と競争ですから、そのなかでその二重の脅迫・三重の脅迫みたいな発明がどんどんで出てくるわけです。つまり敵もかなり熾烈な生き残り競争みたいなところでやってますので、いろんな手口が出てきます。警察が逮捕したら終わりという話ではなく、じゃあ警察もその数全部捕まえてくれるんですかという話なわけです。

━━きりがないですね。

門林:そうです。で、そういうきりがないゲームを仕掛けてるんだというところまず認識しないといけません。時々、米連邦捜査局(FBI)がランサムウェアギャングを捕まえましたという報道も出てますが、あれは本当に氷山の一角でしかなくて、彼らは自分たちの味方をすでに増やしていっているので、もうエンドレスな戦いになっているわけです。結局それで生計が成り立ってしまうと、ビジネスと同じく、次はどうしようとやはり考えます。ですからそのうち全員捕まるから大丈夫という感じで変な明るい希望をもって通り過ぎるのを待つ、そういう話じゃないということです。

━━もうこれだけに限らず、これからは様々な手法、ありとあらゆるものが想定されるということですね。

ランサムウェア身代金イメージ画像

門林:そうです。結局ランサムウェアはここ数年の最近の話題だと思っている人が多いと思うんです。私は最初に聞いたのが11年前でした。その頃、まだビットコインがなかった時代に、ロシアと旧ソビエト連邦諸国(CIS)で流行っていて、ロシア・CIS特有で昔あったダイヤルQ2のような、この番号に送ると何百円チャージされますという感じの有料のSMSがあるんです。それをランサムウェア集団が集金目的で使って、「この暗号のロックを解除してほしかったら有料SMSを送れ」というと、500円・900円ぐらいが回収され、それで1か月パソコンが普通に使えるようになるという感じです。つまりCISではそういうスキームがもう10年以上前にあったわけです。そこからずっと進化して産業としても大きくなり今に至るわけです。問題はどんどん悪辣(あくらつ)になってますし、熾烈な戦いを繰り広げていて、結局10年かかってグローバルな暗黒産業を作っているわけです。いまやランサムウェア産業は事業者が学校で毎週100人単位で誕生しているようなかなりの成長産業です。これじゃあ来年なくなりますか?っていわれてもおそらく10年はなくならないと思います。ですのであと10年これが続くと覚悟してくださいという話です。

━━ランサムウェアはいつ収束するといったレベルの問題ではないのですね。

門林:サイバーセキュリティをやってない人は「そのうちなくなるんでしょ」「一過性のものでしょ」という感じですよ。でもそう思っている人にとっては最悪の事態がどんどん進行していって今に至るわけですから、やはりリスク管理の原則ですが、最悪の事態を想定してそれに備えるというところが外せないと思います。

後編へ続く


門林 雄基 氏
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。


「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
「お問い合わせはこちら」ボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

SQATセキュリティ診断サービスの告知画像
BBSecロゴ
リクルートページtop画像
セキュリティトピックス告知画像

認証技術は今

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

バックナンバーアイコン画像

SQAT® Security Report 2021-2022年秋冬号

スマートフォンでパスワード認証をする人のイメージ

※本記事は、SQAT®Security Report 2021-2022年秋冬号の記事、
「認証技術は今」の一部抜粋になります。

認証とは、主に、特定の場所への入場や特定のシステムの利用などにあたって、「その人物が確かに入場や利用を許可された当人であるか」確認することを指す。認証技術は、様々なシステムにおいてユーザの真正性を確認するためのものであり、セキュリティの要といえる。本稿では、Webサービスおよびスマートフォン(以下、スマホ)アプリにおけるユーザ認証技術について、昨今の実情を今一度整理し、セキュアなシステム構築のためにどのような認証機構が求められているのかを探る。

認証をとりまくリスク

サイバー攻撃のうち、認証の仕組みに不備があることにより発生するのが、アカウントの乗っ取りである。最近報告された国内のインシデントには以下のような例がある。

報告時期インシデント影響
2021年6月大学研究員のメールアカウントの不正利用*1海外の不特定多数の宛先に迷惑メールが送信された。
2021年2月メッセージングアプリアカウントへの不正アクセス*23,000を超える認証情報が流出した恐れ。
2020年9月電子決済サービス不正口座利用*3多数の銀行口座から不正引き出し。金融庁が対応要請を出した。

パスワード認証の限界

ID・パスワードによるログインを試行する攻撃手法は複数あるが、パスワードリスト攻撃の一種で、ボットにより大量の不正ログインを試みるCredential Abuseは、1日に億単位で実行されている。このうち特に金銭被害に直結しがちな情報を保持する金融サービス業では、1日あたり数千万件との報告もある(下・折れ線グラフ)。

Credential Abuseの試行数の折れ線グラフ
出典:Akamai Technologies, Inc.「SOTI インターネットの現状/セキュリティ」レポート第2号『金融業界に対するフィッシング攻撃』
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf

しかしながら、どれほどサービス提供側が警告を発したとしても、ユーザは複数のサービスで同じパスワードを使いがちだ。実際、複雑なパスワードを設定するのも、複数の異なるパスワードを管理するのも面倒である。ヒトの記憶に頼るパスワード認証という方法の宿命と言えるだろう。

認証の3要素

ここで、そもそも認証にはどのような要素があるか、おさらいしたい。認証の要素になり得るのは、その本人だけに属するモノ・コトだ。次のとおり、(…続き)


本記事はここまでになります。

この記事の続きでは、単要素認証(パスワードのみの認証など)と多要素認証(パスワード+スマホで受信した認証コードなど)それぞれのリスクと認証情報漏洩を防ぐための暗号化技術をご紹介し、安全な認証実現に対して企業がどのように取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.主な認証技術
4.パスワード認証以外なら安全か
5.リスクをできるだけ回避する多要素認証
6.情報漏洩対策のための暗号化
7.「高機能暗号技術」による保護
8.安全な認証実現のために
9.まずは現状の認証が安全か確認することから

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

クラウドセキュリティ対策の方法とは?
クラウドサービスの不安とメリットを解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

クラウドセキュリティ対策の方法とは?クラウドサービスの不安とメリットを解説のサムネ

クラウドサービスを利用する企業は約7割を超え、いまやITビジネス環境に欠かせない存在です。AWS、Azure、GCPなどのクラウドサービスの代表例と、クラウド導入のメリットと不安、クラウドセキュリティを担保する方法を解説します

日本の各企業でも、クラウドサービス(クラウド)の利用はさらに進み、オンラインによるコミュニケーションやデータ共有、迅速なシステム構築などに活用されています。 しかし、ハードウェアを自社内やデータセンター等の設備内に設置する「オンプレミス」と比べ、セキュリティに対する漠然とした不安の声もあります。導入担当者やセキュリティ担当者は、クラウドセキュリティを確保していく必要があります。

この記事では、企業で活用されているクラウドサービスを例示しながら、「クラウド」「SaaS」「PaaS」「IaaS」「オンプレミス」などクラウド関連の用語を解説します。またクラウドサービスのメリットや不安点を挙げた上で、最後にクラウドセキュリティについて論じます。

クラウドサービスとは

クラウドサービスとは、ソフトウェアやサーバ、インフラなどを製品としてではなくサービスとしてクラウド事業者が提供するものです。これまでのソフトウェアやサーバの調達と異なり、利用者はサブスクリプション形式で利用料を支払い、クラウド上にあるリソースをサービスとして利用します。

クラウド(cloud)という名称は、ネットワークの模式図上で雲のような形状で示されるところからきました。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

サーバを事業所内に設置するような利用形態「オンプレミス」という用語は、「クラウド」の対義語のように使われていますが、英語のon-premiseの本来の意味合いは「敷地内の」というものです。

なおクラウドサービスを分類すると、3つの主要サービスがあります。具体的なイメージを掴めるよう、法人で幅広く使われているクラウドサービスを挙げながら紹介します。

SaaS(Software as a Service、サース、サーズ)

Gmail(Webメール)、Microsoft Office 365(オフィスソフト)、Dropbox(ストレージ)、Slack(チャット)などのサービスがあります。一般ユーザが使用するアプリケーションをサービスとして提供します。

IaaS(Infrastructure as a Service、アイアース、イアース)

利用者が選択したスペックやOSに合わせた、仮想的なマシン(インフラ)を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。

たとえばWebサービスを顧客に展開するときに、Webサーバとして活用するケースがあります。Amazon Elastic Compute Cloud(Amazon EC2)、Azure Virtual Machines、Google Compute Engine(GCP)といったサービスがあります。

PaaS(Platform as a Service、パース)

IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームがPaaSです。さまざまなサービスがありますが、たとえばAWSのAmazon Relational Database Service(Amazon RDS)では、主要なリレーショナルデータベース(RDB)をサポートします。また、GCPのGoogle App Engine(GAE)は、JavaやPythonなどで開発したアプリケーションをGCPのインフラ上で簡単にデプロイ、管理できるようになっています。

CaaS(Container as a Service、カース)

コンテナ技術を用いると、例えば開発用、本番用といった異なるサーバやOS間で同一の環境を持ち運べるなど、効率的なアプリケーション開発が実現できますが、複数のコンテナを組み合わせた大規模な環境では、それらを運用、管理するのに手間がかかります。CaaSは、複数のコンテナ利用に必要なオーケストレーション機能(管理/サポートする機能)を多数提供し、開発業務のさらなる効率向上を可能にします。代表的な例には、Docker、GKE(Google Kubernetes Engine)、Amazon ECS(Elastic Container Service)、VMware PKSなどのサービスがあります。

なお企業向けのクラウドセキュリティの議論はIaaSやPaaSを対象にしたものが中心です。これは、SaaSのセキュリティ管理は、クラウド事業者とサービサーが担うため、企業側で対応する余地があまりないためです。この記事でも、特に断りのない限りIaaSやPaaSを念頭に説明を進めていきます。

日本政府もAWSを導入!クラウドを利用する日本企業は7割に

2020年2月、政府が「政府共通プラットフォーム」にAWSを利用する 方針であることを発表しました。政府が採用を決める前から、企業でもクラウド利用が広がっています。以下は、総務省の通信利用動向調査の結果です。クラウドを全社的または一部の部門で活用する日本企業は毎年増え続け、2021年では70.2%に上っています。

国内におけるクラウドサービス利用状況

国内におけるクラウドサービス利用状況のサムネ
出典:
総務省「令和3年通信利用動向調査」企業編
総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公表)

クラウドサービス導入のメリット

ピーク性能に合わせて購入するのが一般的なオンプレミスと比べ、クラウドでは必要な時に必要なスペックで サーバやソフトウェアの契約を行うことが可能です。

1.どこからでもアクセスできる

WebメールやオンラインストレージといったSaaSを利用している場合、どこにいてもインターネットがあればアクセスできます。

2.負荷に応じて動的にシステム変更可能

アクセスの増減に合わせて、Webの管理ツールを操作するだけで、サーバを追加したり削減したりできます。オンプレミスと比べ、変更にかかる時間を大幅に短縮できます。 TVで取り上げられた場合などに発生する、突発的なアクセス増にも柔軟に対応可能です。

3.開発者が多くどんどん便利になっている

利用が急拡大しているグローバル規模のクラウド事業者は、世界中から優秀な開発者を集めており、次々と機能追加が行われています。

クラウドサービスに対する4つの不安

クラウドサービスに対する4つの不安のサムネ

1.情報漏えいリスク

どこからでもアクセスできて便利な反面、オンプレミス環境のように手元に情報を保持していない分、漠然とした不安や、攻撃対象になりやすいのではないかといった懸念があります。こうした懸念に応えるセキュリティ対策については後述します。

2.システム稼働率や法規制対応

クリティカルなサービスを提供する企業では、稼働率などを保証するSLA(Service Level Agreement)や、冗長構成を必要とする場合があります。また、クラウドサービスの利用にあたり、社内の基準やコンプライアンス、業界基準、国内法に準拠している必要があります。

これらの不安に対応して、AWSなど大手のクラウドサービスではSLAや第三者機関から取得した認証など、各種基準への対応状況を公表しています。

3.従量課金による費用変動

クラウドサービスの課金体系には、月額・日額の固定料金制もあれば、従量課金制もあります。利用形態によっては、オンプレミス環境を用意したほうが安価な場合もあります。システム利用計画を建ててから契約しましょう。

4.カスタマイズやベンダーのサポート体制

クラウド事業者は複数の顧客に共通のサービスを提供することで。オンプレミス環境と同様のカスタマイズやサポートは望めない場合もあります。

クラウドセキュリティ要件のガイドライン

クラウドセキュリティ要件のガイドラインのサムネ

クラウドサービス提供者側のセキュリティ要件として、たとえば総務省では「クラウドサービス提供における情報セキュリティ対策ガイドライン」を提供しています。

クラウド事業者は施設の物理セキュリティや、ネットワークなどのインフラのセキュリティに責任を持ちますが、利用者側にもネットワーク周りの設定や管理アカウントの管理などの対策が求められます。

クラウドの設定ミスに起因する事故

AWSに置かれていた、米ウォールストリートジャーナル紙の購読者名簿220万人分が、第三者による閲覧が可能な状態になっているという事故がありました。これは、利用者側の設定ミスに起因するものです。

オンプレミス環境ではサーバを直接操作する人は限られており、サーバルームの入退室記録簿等々、事故が起こらないようにさまざまなルールや、それを守る体制がありました。しかしクラウドでは、前述したようにどこからでもアクセスして、Web管理ツールで簡単にシステムを変更できるという利点が、逆に事故につながる場合があります。

クラウドセキュリティ対策の方法は?

ひとつは、クラウドサービスの設定に関わるベストプラクティス集を利用する方法です。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

もうひとつは、クラウドの設定にセキュリティ上の問題がないか診断するツールを利用する方法です。実用するには一定の習熟が必要で、たとえば出力された多数の脆弱なポイントについて、どこを優先して対処していくかの判断が求められます。セキュリティ企業が提供する診断サービスを利用する方法もあります。パブリッククラウドの設定にリスクがないか専門家が診断します。

クラウドセキュリティ設定診断サービスのサムネ

まとめ

・クラウドのセキュリティは、クラウドサービスの提供側と利用者側双方で担保する
・提供側はインフラ等のセキュリティに責任を負う
・利用者側はセキュリティ、ネットワーク、アカウントなどの設定・管理を適切に行う
・利用者側の対策として、ベストプラクティスの活用、自動診断ツール、セキュリティベンダーの提供するサービスを利用するといった方法がある

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

標的型攻撃とは?
事例や見分け方、対策をわかりやすく解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

標的型攻撃とは?事例や見分け方、対策をわかりやすく解説のサムネ

標的型攻撃とは、攻撃者が明確な目的を持って、特定の企業や組織・個人などを狙って行うサイバー攻撃です。日本国内では、2011年頃から多く報告されるようになりました。

サイバー攻撃の多くには、これまではっきりした目的がありませんでした。無差別に感染させるウイルスやワーム、不特定多数に向けて大量送信されるスパムメールなど、従来の攻撃は標的を選ばない「ばらまき型」が多くを占めていました。しかし標的型攻撃では、たとえば「製造業A社の保有する、~分野の技術に関わる特許等の知的財産」など、ゴールが明確に設定されています。

標的型攻撃のうち、特に国家機密やグローバル企業の知的財産をターゲットとした、豊富な資金を元に、極めて高い技術水準で、長期間行う標的型攻撃のことをAPT(Advanced Persistent Threat:高度で継続的な脅威)と呼ぶこともあります。


従来型の攻撃標的型攻撃
目的悪意のない趣味や愉快犯、技術的な理論検証など、趣味や知的好奇心の延長知的財産・国家機密・個人情報など、金銭目的の犯罪、諜報などの目的を持つ
対象不特定多数のインターネットユーザー 特定の企業や組織、政府
技術必ずしも高くない 高度な技術水準
組織多くは個人による活動、複数であっても組織化されていない 組織化された多人数の組織
資金個人による持ち出し 豊富、国の支援を受けている場合も
期間短い、興味や好奇心が満たされれば終了 目的を達成するまで辞めない、数年間のプロジェクトとなることも

メールから侵入する「標的型攻撃メール」とは

メールから侵入する「標的型攻撃メール」とはのサムネ

標的型攻撃の多くは、業務を装ってメールを送り、添付されたファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」をきっかけに行われます。マルウェアは、OSや特定のアプリケーション、プログラミング言語や開発環境の脆弱性を突いて感染を果たします。

「ハッカー御用達サーチエンジン」などと呼ばれる「SHODAN(ショーダン)」「Censys(センシス)」という検索エンジンがあります。GoogleのようにWebページを検索するのではなく、インターネットに接続されているサーバやコンピュータ、 IoT機器を対象とした検索エンジンで、これらを用いることで、たとえば脆弱性のあるOSにも関わらずパッチがあてられずに放置されているサーバを見つけることができます。

脆弱性が見つかったら、その脆弱性を突くマルウェアをブラックマーケットで購入あるいは開発し、PDFファイルなどに偽装し、メールに添付し標的型攻撃メールが送られます。少々簡素化していますが、こういう手順で標的型攻撃は行われます。

標的型攻撃メールの事例

標的型攻撃メールによってマルウェア感染や被害が発生した事例として独立行政法人情報処理推進機構(IPA)は、2012年に発行した「標的型攻撃メール<危険回避>対策のしおり」に具体的事例のリストを掲載しています。そこには、


・日本政府や中央官公庁

・日本を含む世界の化学・防衛関連企業48社

・日本の重電メーカー


などの組織が「報道された標的型攻撃メールの事件」として並んでいます。

同じくIPAが2015年に発行した「IPA テクニカルウォッチ 標的型攻撃メールの例と見分け方」では、標的型攻撃メールの生々しい偽装例が記載されています。それによれば、


・新聞社や出版社からの取材申込

・就職活動に関する問い合わせ

・製品に関する問い合わせ

・セキュリティに係る注意喚起

・注文書送付

・アカウント情報の入力要求


などに偽装して標的型攻撃メールが実際に送られたということです。

標的型攻撃メールの見分け方

標的型攻撃メールの見分け方のサムネ

標的型攻撃以前には、いわゆる「怪しいメールの見分け方」という鉄板の基準がありました。代表的な判断基準はたとえば「知らない人からのメール」「フリーメールからのメール」「日本語の言い回しが不自然」などが挙げられます。標的型攻撃以前には確かにこれらの基準は有効でした。しかし、こういった基準が標的型攻撃以降、必ずしも通用しなくなっています。

ますます洗練されている標的型攻撃メールの基準に対応するため、IPAは前掲のレポート「IPA テクニカルウォッチ 標的型攻撃メールの例と見分け方」で、不審か否かを見分けるための着眼点として以下を挙げています。


・知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容

・心当たりのないメールだが、興味をそそられる内容

・これまで届いたことがない公的機関からのお知らせ

・組織全体への案内

・心当たりのない決裁や配送通知

・ID やパスワードなどの入力を要求するメール

・フリーメールアドレスから送信されている

・差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

・日本語の言い回しが不自然である

・日本語では使用されない漢字が使われている

・実在する名称を一部に含む URL が記載されている

・表示されている URL と実際のリンク先の URL が異なる

・署名の内容が誤っている


昔ながらの基準と変わらない点もあるものの、「心当たりのないメールだが、興味をそそられる内容」「これまで届いたことがない公的機関からのお知らせ」「組織全体への案内」などは、業務上開封せざるをえないことも少なくないでしょう。「よほど仕事を怠けていない限りひっかかる」これは標的型攻撃メールに関してよく言われる言葉です。

近年の標的型攻撃メールは日本語も洗練されています。上記の基準ですら判別できない場合もあると心得ていたほうが間違いないでしょう。

標的型攻撃への入口対策

標的型攻撃メールを防ぐ「標的型攻撃メール訓練」

標的型攻撃メールを開封しないように、従業員のセキュリティリテラシーを上げるために「メール訓練」「標的型攻撃メール訓練」などと呼ばれるセキュリティサービスがあります。

模擬の標的型攻撃メールを作成し、事前に知らせずに従業員にメールを送信、本文中のリンクをクリックしたり添付ファイルを開いてしまった人を調べ、部門毎の攻撃メール開封率などを管理者に報告するサービスです。

標的型攻撃メール訓練サービスの比較のポイント

標的型メール訓練サービスは提供業者が多く、費用やサービスクオリティはさまざまです。ここで簡単に、いい標的型攻撃メール訓練会社の比較のポイントを列挙します。


・実施前に社内の業務手順や、うっかり添付ファイルを開いたりリンクをクリックしてしまいそうなメールの傾向を、丁寧なヒアリングをもとに考えてくれるかどうか

・開封率の報告だけでなく、添付ファイルを開いた後の初動対応分析や、万一開いた場合の報告体制、エスカレーションの仕組の助言などを行ってくれるかどうか

・標的型攻撃メールの添付ファイルを開いたりリンクをクリックすることで具体的にどのように被害が発生するか、リスク予測をしてくれるかどうか

・訓練で洗い出された課題解決のために従業員向け研修を実施してくれるかどうか


標的型メール訓練サービスは各社それぞれ個性と品質の差があります。一見似ているように見えますが、どのように運用するかによってサービスクオリティが大きく変わってきます。

組織には人事異動もあり業務内容も変わります。メール訓練をやる場合は、エビデンスのために実施する場合はともかく、本当に根付かせたいのであれば定期的な実施が必須といえるでしょう。

「入口対策」を考えると、教育訓練を施す標的型メール訓練は 「ヒト」 に対する対策として有効な対策の一つです。しかし、うっかり危険なファイルを開いてしまう確率がゼロになることは残念ながらありません。

もしあなたの会社の人事担当者に、就職を希望する優秀な経歴を持つ学生から、レジュメや志望動機を書いたPDFを添付したメールがGmailで届いた場合、彼・彼女はきっとそのメールを開かざるをえないでしょう。「よほど仕事を怠けていない限りひっかかる」のです。もはや「防ぐ」という視点と同時に、侵入されることを前提に考える時期が来ています。

開封率の低減を最重要視するのではなく、「開封されても仕方なし」というスタンスで取り組むことが重要です。訓練の目標を「開封された後の対応策の見直しと初動訓練」に設定し、定められた対応フロー通りに報告が行われるか、報告を受けて対策に着手するまでにどれくらいの時間を要するかを可視化して、インシデント時の対応フローおよびポリシーやガイドラインの有効性を評価することをお勧めします。また、従業員のセキュリティ意識を向上させるために、教育および訓練と演習を実施するのが望ましいでしょう。

標的型攻撃の対策方法

標的型攻撃の対策方法のサムネ

「侵入されることを前提に考える」とは、もはや完全に防ぐことはできないと認めることです。これは標的型攻撃がセキュリティ対策や産業に与えた最も大きな影響のひとつといえるでしょう。標的型攻撃やAPT攻撃以降に、「この製品を買えば100%防げます」オーバーコミット気味のセキュリティ製品の営業マンが、もしこんなセリフを言ったとしたら、もはや安請け合いどころか明白な嘘です。

標的型攻撃以降、「出口対策」「内部対策」という順番で、新しいセキュリティ対策の言葉が次々と生まれました。

「出口対策」とは、ファイアウォールやアンチウイルスソフトで防ぎ切ることができずに感染してしまったマルウェアが、重要な情報を盗み出し、外部に重要情報を送信する(盗み出す)前に、その通信を検知しブロックする対策のことです。

「内部対策」とは、標的型攻撃メールで特定のPCに感染したマルウェアが、隣のPCや、参照権限のあるサーバなど、ネットワークを「横移動(ラテラル・ムーブメント)」して、Active Directoryなどのクレデンシャル情報や、知的財産が置かれたサーバにたどりつかないよう横展開を阻害する対策のことです。ネットワークの区画化やSIEMによる分析、ユーザーの行動を分析するUEBA、果てはニセのクレデンシャル情報をネットワークに地雷のように置くデセプション製品など、各社工夫をこらした高価な先端製品が各社によって開発・提供されています。

一方で、従来の「入口対策」をパワーアップした対策として、添付されたファイルがマルウェアではないかどうかをSandboxという環境で安全に検証してからユーザーに届ける製品などが国内でも普及しました。

どれも優れた製品ですが、いずれにせよ完全に防げる神話はもう崩れています。侵入前提の対策や組織作りが必要です。しかし、高価なSandboxやSIEMなど先端の製品による対策をすべての組織でできるわけではありません。

しかし悲観する必要はありません。実は、昔から言われている基本対策も標的型攻撃に対して有効な対策の一つなのです。まずはWindowsOSやMicrosoft Office、Adobeなどの主要アプリケーションを最新の状態に保つことです。

また、Webサイトやアプリケーションなどの公開サーバ、社内ネットワークを対象に、見過ごしているセキュリティホールがないかどうかを見つける脆弱性診断の定期的実施や、いざ侵入できたらどこまで被害が拡大しうるのかを調べるペネトレーションテストの実施も同様に有効でしょう。

「我が社には盗まれるような特許も個人情報もない」これもよく言われる言葉です。しかし、近年「サプライチェーン攻撃」と呼ばれるサイバー攻撃が話題になっています。たとえば、大手グローバル自動車会社のB社を最終目的として、部品製造を行う系列の中小企業などから攻撃を行い、本丸を目指す方法などを指します。もはや関係ないと言える企業は少ないといえるでしょう。

まとめ

・標的型攻撃は、攻撃者が明確な目的を持ち、特定の企業や組織・個人などを狙って行うサイバー攻撃
・標的型攻撃には、業務を装った巧妙なメールの添付ファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」によるものが多い
・従業員のセキュリティリテラシーを上げて標的型メールを開封しないようにするためには、「標的型攻撃メール訓練」などのセキュリティサービスがある
・標的型攻撃を100%防御することは不可能なため、感染することを前提とした「出口対策」「内部対策」を講じることで攻撃成功の確率を下げる


BBSecでは

ランサムウェア対策総点検」のうちのサービスの一つ、「ランサムウェア感染リスク可視化サービス」では標的型攻撃を受けてしまった場合の現状のリスクの棚卸を行うことが可能です。従来の標的型メール攻撃訓練からもう一歩踏み込み、「ヒト」の対策ではなく、「情報」の対策として、システム環境の確認や、環境内で検知された危険度(リスクレベル)を判定いたします。

標的型メール訓練サービスとランサムウェア対策総点検のサービスサムネ
ランサムウェア対策総点検のサムネ
※外部サイトへリンクします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

セキュリティ診断の必要性とは?

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「セキュリティ診断」とは何か?セキュリティ診断には脆弱性診断、ソースコード診断、ペネトレーションテストなどの方法があります。今回は、企業にセキュリティ診断が不可欠な背景を説明します。また、診断以外のセキュリティ対策にも触れます。

セキュリティ診断の必要性とはのサムネ

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、機密情報等の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べによれば、上場企業とその子会社で起きた個人情報漏洩または紛失事故・事件件数は2021年で137件となり過去最多を更新しました。*4実際に企業がデータ侵害などの被害を受けてしまい、機密情報等の漏洩が発生してしまうと、システムの復旧作業に莫大なコストがかかるほか、データ侵害によるインシデントが信用失墜につながることで、 深刻なビジネス上の被害を引き起こします。被害を最小限に抑えるために、適切な事故予防、攻撃対策をとっていくことは、企業の重要な業務のひとつとなっています。

セキュリティ対策やセキュリティ診断は、企業にとっていまや基幹業務に不可欠であり、社会的責任でもあります。この記事ではセキュリティ診断の内容と必要性などを解説します。

セキュリティ診断とは? その必要性

セキュリティ診断とは、システムのセキュリティ上の問題点を洗い出す検査のことを指します。脆弱性診断、脆弱性検知、など呼び方もさまざまで、また対象によってソースコード診断、システム診断、Webアプリケーション診断、ペネトレーションテストなどに分類されます。

なお、複数の診断方法のうち、同様の診断をセキュリティベンダーや診断ツール提供者がそれぞれ微妙に異なる名称で呼んでいるケースもあります。

「セキュリティ診断」という用語は、単に「脆弱性診断」を指すこともあれば、セキュリティに関するさまざまな診断や評価全体を包括して「セキュリティ診断」と呼ぶ広義の使い方もあります。

「セキュリティ」には、情報セキュリティだけではなく、デジタル社会へのリスク対応全般が含まれる場合もありますが、「セキュリティ診断」という用語は、企業など組織の事業における(情報)セキュリティリスクの低減を主な目的とした検査のことをいいます。

資産である情報の「機密性」「完全性」「可用性」を守るため、セキュリティ診断を行うことで、情報セキュリティの観点からみた構造上の欠陥や、組織体制、あるいは運用上の弱点を見つけることができます。発見された問題に対し優先順位をつけて対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

企業に求められる情報セキュリティ対策の例

企業が実施するセキュリティ対策のうち、よく話題にあがるものをいくつかピックアップして説明します。

不正アクセス対策

不正アクセス対策のサムネ

不正アクセスとは、本来アクセス権限を持たない者が、何らかの手段を用いて第三者の情報にアクセスすることをいいます。なりすまし不正侵入といった形が一般的です。不正アクセスによって、個人情報や知的財産が奪われる、サーバやシステムが停止するなど、企業活動に影響するリスクが生じます。不正アクセスに対しては、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」によって、アクセス管理者にも次の管理策を行う義務が課されています(ただし、罰則はありません)。
・識別符号の適切な管理
・アクセス制御の強化
・その他不正アクセス行為から防御するために必要な措置
セキュリティ診断を通じてシステムに存在する弱点を洗い出し、発生箇所を特定することで、こうした不正侵入などへの対策を立てやすくする効果があります。

脆弱性対策

脆弱性とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点をいいます。脅威とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」で、いわばシステムにおけるバグのようなものです。それらの脆弱性は、「危険度を下げる」「蔓延を防ぐ」「影響度を下げる」ことで、悪用されにくくすることができます。

脆弱性対策とは、これらの角度からシステムの欠陥をつぶしていく行為ともいえます。利用しているソフトウェアの既知の脆弱性をアップデートやパッチの適用で常に最新版に保ったりすることや、システム開発の場面でそもそも脆弱性を作りこまないように開発することなどが、その典型例です。

標的型攻撃対策

近年、「高度標的型攻撃(APT)」と呼ばれる、新しいタイプの攻撃が警戒されるようになりました。もともと、標的型攻撃とは、特定の企業や組織に狙いを定めてウイルスメールを送るなどの攻撃を仕掛けるものでしたが、高度標的型攻撃は、特定のターゲットに対して長期間の調査と準備を行い、ときには社内のネットワーク構成図や会社組織図、キーパーソンの休暇の取得状況まで調べ上げたうえで、サイバー攻撃を仕掛けてきます。

標的型攻撃対策のサムネ

従来、標的型攻撃の対策としてはセキュリティ意識を高める訓練が主でしたが、今では「侵入されること」を前提に、セキュリティ機器を使った多層防御システムを構築することの大切さが、広く認識されるようになってきました。高度標的型攻撃に特化したセキュリティ診断を受けることで、攻撃被害スコープを可視化したり、脅威リスクのシミュレーションを行うことができます。

運用を含むリスクアセスメント

システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。

システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。リスクアセスメントを通じて、リスクの棚卸による現状把握ができ、優先順位をつけて改善策を講じていくことが可能になります。

セキュリティ診断の方法と種類

セキュリティ診断の分類はいくつかあります。
<診断対象による分類>
 ・Webアプリケーション脆弱性診断
 ・ネットワーク脆弱性診断
 ・ソースコード診断
 ・スマホアプリ脆弱性診断
 ・ペネトレーションテスト
 ・クラウドセキュリティ設定診断
 ・IoT診断

<ソースコードや設計書の開示の有無による分類>
 ・ホワイトボックステスト
 ・ブラックボックステスト

<診断実施時にプログラムを動かすかどうかによる分類>
 ・動的解析
 ・静的解析

ホワイトボックステスト/ブラックボックステスト、動的解析/静的解析については、SQAT.jpの以下の記事でご紹介しています。こちらもあわせてご覧ください。
「脆弱性診断の必要性とは?ツールなど調査手法と進め方」

Webアプリケーションセキュリティ診断

Webアプリケーションに対して行う診断です。事業活動に欠かせないWebサイトはデータの宝庫です。ハッキング対象の約7割がWebサイトであるともいわれています。ひとたびデータ侵害が起こると、事業継続に影響を与えかねないインシデントを引き起こすリスクがあります。

ネットワークセキュリティ診断

サーバ、データベース、ネットワーク機器を対象として脆弱性診断やテスト、評価を行います。搭載されているOS、ファームウェア、ミドルウェアなどのソフトウェアについて、最新版か、脆弱性がないか、設定に不備がないかなどを確認します。ネットワークの脆弱性対策をすることで、サーバの堅牢化を図る、不正アクセスを防止するなどの効果を得られます。

ソースコードセキュリティ診断

WEBアプリケーションは、プログラムの集合体であり、脆弱性はプログラム処理におけるバグであるといえます。入力チェックやロジック制御に、バグ(考慮不足)があるから、想定しない不具合が発生すると考え、プログラムコード(ソースコード)を調べていくのがソースコード診断です。ソースコード診断はプログラムに対するセキュリティ観点でのチェックであるとともに、開発工程の早い段階で、脆弱性を検出することが可能になります。

セキュリティ診断で未然に事故を防ごう

セキュリティ診断で未然に事故を防ごうのサムネ

セキュリティ診断のひとつとして挙げた脆弱性診断には、さまざまな診断ツールが存在しており、無料で入手できるものもあります。しかしツールの選定や習熟には一定の経験や知見が求められ、そもそも技術面だけでは企業のセキュリティを確保することはままなりません。セキュリティの専門会社の支援を受けて、客観的な評価やアドバイスを受けるのも有効な手段です。

セキュリティ専門会社による脆弱性診断を実施することで、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切の対策が可能です。予防的コントロールにより自組織のシステムの堅牢化を図ることが事業活動継続のためには必須です。

まとめ

  • Webアプリケーションセキュリティ診断、ネットワークセキュリティ診断、ソースコード診断、セキュリティに関するさまざまな診断やテストが存在する
  • 不正アクセスなどの攻撃を防ぐためシステムの脆弱性を見つけて対策することが必須
  • 技術的対策だけでセキュリティを担保することは難しい
  • 人間の脆弱性や業務運用までを含む包括的な視点で組織にひそむリスクを洗い出すことも重要
セキュリティ診断サービスのサムネ

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

2021年下半期 カテゴリ別脆弱性検出状況

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2022年 春夏号

Webアプリケーション診断結果

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

診断結果にみる情報セキュリティの現状はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像